Windows 10惊传一般使用者也能读取SAM组态档的漏洞，恐被攻击者滥用，获得高系统权限

对于Windows使用者而言，这个月接连被资安研究人员发现PrintNighmare等多个漏洞，都与打印多工缓冲处理器模组（Print Spooler）有关，攻击者可滥用于本机提升权限（LPE），有的甚至能用来远端执行程式码（RCE）攻击。

然而，资安研究社团Secret Club研究员Jonas Lykkegaard发现，Windows 10、Windows 11存在可被用于提升本机使用者权限的漏洞CVE-2021-36934，而这个漏洞形成的原因，是受到磁盘区阴影复制（Volume Shadow Copy）配置的存取权限有关，导致一般使用者就能存取安全性账户管理员（SAM）的档案。此漏洞很快就得到微软证实，该公司亦提出缓解措施，但尚未推出修补程式。

关于这个漏洞的称呼，除了微软提报为CVE-2021-36934列管，还有2个用来形容它的名称。例如，Bleeping Computer、The Record、Threatpost等新闻网站称之为SeriousSAM，而资安业者Malwarebytes与Sophos则称作HiveNightmare。

这个漏洞并非直接在Windows 10上发现，而是微软甫于6月底推出的Windows 11测试版本。Jonas Lykkegaard在测试Windows 11时，意外发现新的漏洞：一般低权限的使用者，也能透过磁盘区阴影复制的副本内容，读取SAM的档案。这样的情形，一度被许多人以为只存在于上述测试版操作系统，但随后也被其他研究人员与资安新闻网站Bleeping Computer验证，多个版本的Windows 10，在安装所有的修补程式后，也存在相同的漏洞。

yarh- for some reason on win11 the SAM file now is READ for users.
So if you have shadowvolumes enabled you can read the sam file like this:

I dont know the full extent of the issue yet, but its too many to not be a problem I think. pic.twitter.com/kl8gQ1FjFt

— Jonas L (@jonasLyk) July 19, 2021

而同样能以相同手法被一般使用者直接存取的组态设定，并非只有SAM。Jonas Lykkegaard向Bleeping Computer进一步说明，其他存放于%windir%\\system32\\config资料夹的组态设定档案，也存在相同的问题，而这些是与Windows登录档有关的资料，涉及电脑里所有使用者的敏感资料，以及Windows功能使用的Token，若是不具高权限的使用者就能存取，就有可能很容易遭到滥用。其中，影响最为直接的就是SAM，因为这个组态档案包含了电脑所有使用者的密码杂凑值，对于攻击者而言，可用来存取特定的使用者账号。

一般来说，这些Windows登录档的组态档案无法直接存取，若是使用者意图存取，系统会显示已被其他程式使用而无法开启。但Jonas Lykkegaard发现，这些组态档案通常会被磁盘区阴影复制工具留存副本，且副本里的组态档案不需具备特殊权限就能存取。

上述的问题究竟有多严重？开发Mimikatz工具的资安研究员Benjamin Delpy指出，攻击者可借此轻易偷取NTLM的密码杂凑值，来提升权限，若是进一步运用这项漏洞，他认为攻击者可以发动名为Silver Ticket的进阶攻击。这名研究员也透过影片，展示CVE-2021-36934的概念性验证（PoC）攻击。

而对于该漏洞的影响范围，美国电脑网络危机处理暨协调中心（CERT/CC）漏洞分析师Will Dormann与SANS专家Jeff McJunkin不约而同指出，可能与Windows 10 1809版微软更动的权限配置有关，自该版本之后的Windows都会受到影响。而这样的推论也得到微软的证实。

上述漏洞的发现，微软亦于7月20日发布安全通告，并于隔日提出缓解措施。该公司建议使用者透过以下步骤缓解：包含删除磁盘区阴影复制的副本资料、删除系统还原的相关资料，以及限缩对于%windir%\\system32\\config资料夹内容的存取，来防范攻击者滥用CVE-2021-36934。