安全研究人员发现了Windows10和windows11操作系统中的一个漏洞，该漏洞允许低级用户访问敏感的注册表数据库文件后，获得本地计算机的管理员权限。

注册表充当Windows操作系统的配置存储库，包含密码、用户自定义、应用程序的配置选项、系统解密密钥等。

在研究过程中，他们发现，即使没有管理员权限，Windows用户也可以访问注册表数据库的机密文件，以便独立地提高系统中的权限级别。

同时，与注册表关联的数据库文件位于C:Windowssystem32config文件夹中。这些是SYSTEM、SECURITY、SAM、DEFAULT和SOFTWARE文件。因为这些文件包含有关Windows功能使用的所有设备用户帐户和安全令牌的机密信息；普通用户不应该访问它们。对于安全账户管理器（SAM）文件来说尤其如此；因为它存储了系统上所有用户的密码。

SAM文件的文件权限

任何人都可以读取SAM文件

通过研究，安全人员发现windows10和windows11 sam相关的注册表文件，以及其他注册表数据库，都可以供低权限的设备用户使用。这意味着即使没有管理员权限，攻击者也可以提取设备上所有账户的NTLM密码，通过pass-the-hash攻击中使用它们来提升权限。尽管像SAM这样的文件总是被系统使用，并且试图访问它们的尝试将被拒绝，但系统会创建这些文件的隐藏副本，攻击者在此类攻击中使用这些副本。

无法访问打开的SAM文件

例如，可以使用以下方法 Win32 设备命名空间路径进行卷影复制，以便计算机上的任何用户访问 SAM 文件。

?GLOBALROOTDeviceHarddiskVolumeShadowCopy1WindowsSystem32configSAM

根据现有数据，具有普通权限的用户首次能够在 Windows 10 (1809) 访问这些文件。

奇怪的是，从6月份开始安装新版本的Windows 1020H2时，问题好像还是存在。

要检查Windows 10或Windows 11的安装是否受到影响，可以打开命令提示符然后输入以下命令：

icacls c:windowssystem32configsam

如果输出显示以下权限，则您安装的Windows将受到该漏洞的影响。

BUILTINUsers:(I)(RX)

微软已经确认该漏洞的存在，并分享了一个临时解决办法。

微软已经确认了问题，并且正在标识符CVE-2021-36934下跟踪该漏洞。开发人员还提出了一个临时选项来更改访问设置；这将避免与此漏洞相关的潜在问题。

微软发言人对此发表了相关看法。“我们正在调查情况，如有必要，将采取适当措施保护客户。”

要暂时阻止对该漏洞的攻击，您需要采取以下步骤：

限制对%windir%system32config的内容的访问：

1. 以管理员身份打开命令提示符或Windows PowerShell。
2. 运行此命令：icacls %windir%system32config*.* /inheritance:e

删除卷影复制服务（VSS）卷影副本：

1. 删除在限制访问%windir%system32config之前存在的所有系统还原点和卷影卷。
2. 创建新的系统还原点（如果需要）。

引用

https://www.bleepingcomputer.com/news/microsoft/new-windows-10-vulnerability-allows-anyone-to-get-admin-privileges/