安全研究人员发现了Windows10和windows11操作系统中的一个漏洞,该漏洞允许低级用户访问敏感的注册表数据库文件后,获得本地计算机的管理员权限。
注册表充当Windows操作系统的配置存储库,包含密码、用户自定义、应用程序的配置选项、系统解密密钥等。
在研究过程中,他们发现,即使没有管理员权限,Windows用户也可以访问注册表数据库的机密文件,以便独立地提高系统中的权限级别。
同时,与注册表关联的数据库文件位于C:Windowssystem32config文件夹中。这些是SYSTEM、SECURITY、SAM、DEFAULT和SOFTWARE文件。因为这些文件包含有关Windows功能使用的所有设备用户帐户和安全令牌的机密信息;普通用户不应该访问它们。对于安全账户管理器(SAM)文件来说尤其如此;因为它存储了系统上所有用户的密码。
SAM文件的文件权限
通过研究,安全人员发现windows10和windows11 sam相关的注册表文件,以及其他注册表数据库,都可以供低权限的设备用户使用。这意味着即使没有管理员权限,攻击者也可以提取设备上所有账户的NTLM密码,通过pass-the-hash攻击中使用它们来提升权限。尽管像SAM这样的文件总是被系统使用,并且试图访问它们的尝试将被拒绝,但系统会创建这些文件的隐藏副本,攻击者在此类攻击中使用这些副本。
无法访问打开的SAM文件
例如,可以使用以下方法 Win32 设备命名空间路径进行卷影复制,以便计算机上的任何用户访问 SAM 文件。
?GLOBALROOTDeviceHarddiskVolumeShadowCopy1WindowsSystem32configSAM
根据现有数据,具有普通权限的用户首次能够在 Windows 10 (1809) 访问这些文件。
奇怪的是,从6月份开始安装新版本的Windows 1020H2时,问题好像还是存在。
要检查Windows 10或Windows 11的安装是否受到影响,可以打开命令提示符然后输入以下命令:
icacls c:windowssystem32configsam
如果输出显示以下权限,则您安装的Windows将受到该漏洞的影响。
BUILTINUsers:(I)(RX)
微软已经确认该漏洞的存在,并分享了一个临时解决办法。
微软已经确认了问题,并且正在标识符CVE-2021-36934下跟踪该漏洞。开发人员还提出了一个临时选项来更改访问设置;这将避免与此漏洞相关的潜在问题。
微软发言人对此发表了相关看法。“我们正在调查情况,如有必要,将采取适当措施保护客户。”
要暂时阻止对该漏洞的攻击,您需要采取以下步骤:
限制对%windir%system32config的内容的访问:
删除卷影复制服务(VSS)卷影副本:
引用
https://www.bleepingcomputer.com/news/microsoft/new-windows-10-vulnerability-allows-anyone-to-get-admin-privileges/
页面更新:2024-05-12
本站资料均由网友自行发布提供,仅用于学习交流。如有版权问题,请与我联系,QQ:4156828
© CopyRight 2020-2024 All Rights Reserved. Powered By 71396.com 闽ICP备11008920号-4
闽公网安备35020302034903号