Windows 10驚傳一般使用者也能讀取SAM組態檔的漏洞，恐被攻擊者濫用，獲得高系統權限 文/周峻佑 | 2021-07-23發表 對於Windows使用者而言，這個月接連被資安研究人員發現PrintNighmare等多個漏洞，都 與列印多工緩衝處理器模組（Print Spooler）有關，攻擊者可濫用於本機提升權限（LPE ），有的甚至能用來遠端執行程式碼（RCE）攻擊。 然而，資安研究社團Secret Club研究員Jonas Lykkegaard發現，Windows 10、Windows 11 存在可被用於提升本機使用者權限的漏洞CVE-2021-36934，而這個漏洞形成的原因，是受 到磁碟區陰影複製（Volume Shadow Copy）配置的存取權限有關，導致一般使用者就能存 取安全性帳戶管理員（SAM）的檔案。此漏洞很快就得到微軟證實，該公司亦提出緩解措施 ，但尚未推出修補程式。 關於這個漏洞的稱呼，除了微軟提報為CVE-2021-36934列管，還有2個用來形容它的名稱。 例如，Bleeping Computer、The Record、Threatpost等新聞網站稱之為SeriousSAM，而資 安業者Malwarebytes與Sophos則稱作HiveNightmare。 這個漏洞並非直接在Windows 10上發現，而是微軟甫於6月底推出的Windows 11測試版本。 Jonas Lykkegaard在測試Windows 11時，意外發現新的漏洞：一般低權限的使用者，也能 透過磁碟區陰影複製的副本內容，讀取SAM的檔案。這樣的情形，一度被許多人以為只存在 於上述測試版作業系統，但隨後也被其他研究人員與資安新聞網站Bleeping Computer驗證 ，多個版本的Windows 10，在安裝所有的修補程式後，也存在相同的漏洞。 而同樣能以相同手法被一般使用者直接存取的組態設定，並非只有SAM。Jonas Lykkegaard 向Bleeping Computer進一步說明，其他存放於%windir%\system32\config資料夾的組態設 定檔案，也存在相同的問題，而這些是與Windows登錄檔有關的資料，涉及電腦裡所有使用 者的敏感資料，以及Windows功能使用的Token，若是不具高權限的使用者就能存取，就有 可能很容易遭到濫用。其中，影響最為直接的就是SAM，因為這個組態檔案包含了電腦所有 使用者的密碼雜湊值，對於攻擊者而言，可用來存取特定的使用者帳號。 一般來說，這些Windows登錄檔的組態檔案無法直接存取，若是使用者意圖存取，系統會顯 示已被其他程式使用而無法開啟。但Jonas Lykkegaard發現，這些組態檔案通常會被磁碟 區陰影複製工具留存副本，且副本裡的組態檔案不需具備特殊權限就能存取。 上述的問題究竟有多嚴重？開發Mimikatz工具的資安研究員Benjamin Delpy指出，攻擊者 可藉此輕易偷取NTLM的密碼雜湊值，來提升權限，若是進一步運用這項漏洞，他認為攻擊 者可以發動名為Silver Ticket的進階攻擊。這名研究員也透過影片，展示CVE-2021-36934 的概念性驗證（PoC）攻擊。 而對於該漏洞的影響範圍，美國電腦網路危機處理暨協調中心（CERT/CC）漏洞分析師Will Dormann與SANS專家Jeff McJunkin不約而同指出，可能與Windows 10 1809版微軟更動的 權限配置有關，自該版本之後的Windows都會受到影響。而這樣的推論也得到微軟的證實。 上述漏洞的發現，微軟亦於7月20日發布安全通告，並於隔日提出緩解措施。該公司建議使 用者透過以下步驟緩解：包含刪除磁碟區陰影複製的副本資料、刪除系統還原的相關資料 ，以及限縮對於%windir%\system32\config資料夾內容的存取，來防範攻擊者濫用CVE- 2021-36934。 https://www.ithome.com.tw/news/145812 -- -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 114.32.53.191 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/PC_Shopping/M.1627229473.A.88B.html