Jonas Lykkegaard
对于Windows使用者而言,这个月接连被资安研究人员发现PrintNighmare等多个漏洞,都与打印多工缓冲处理器模组(Print Spooler)有关,攻击者可滥用于本机提升权限(LPE),有的甚至能用来远端执行程式码(RCE)攻击。
然而,资安研究社团Secret Club研究员Jonas Lykkegaard发现,Windows 10、Windows 11存在可被用于提升本机使用者权限的漏洞CVE-2021-36934,而这个漏洞形成的原因,是受到磁盘区阴影复制(Volume Shadow Copy)配置的存取权限有关,导致一般使用者就能存取安全性账户管理员(SAM)的档案。此漏洞很快就得到微软证实,该公司亦提出缓解措施,但尚未推出修补程式。
关于这个漏洞的称呼,除了微软提报为CVE-2021-36934列管,还有2个用来形容它的名称。例如,Bleeping Computer、The Record、Threatpost等新闻网站称之为SeriousSAM,而资安业者Malwarebytes与Sophos则称作HiveNightmare。
这个漏洞并非直接在Windows 10上发现,而是微软甫于6月底推出的Windows 11测试版本。Jonas Lykkegaard在测试Windows 11时,意外发现新的漏洞:一般低权限的使用者,也能透过磁盘区阴影复制的副本内容,读取SAM的档案。这样的情形,一度被许多人以为只存在于上述测试版操作系统,但随后也被其他研究人员与资安新闻网站Bleeping Computer验证,多个版本的Windows 10,在安装所有的修补程式后,也存在相同的漏洞。
yarh- for some reason on win11 the SAM file now is READ for users.
So if you have shadowvolumes enabled you can read the sam file like this:I dont know the full extent of the issue yet, but its too many to not be a problem I think. pic.twitter.com/kl8gQ1FjFt
— Jonas L (@jonasLyk) July 19, 2021
而同样能以相同手法被一般使用者直接存取的组态设定,并非只有SAM。Jonas Lykkegaard向Bleeping Computer进一步说明,其他存放于%windir%\\system32\\config资料夹的组态设定档案,也存在相同的问题,而这些是与Windows登录档有关的资料,涉及电脑里所有使用者的敏感资料,以及Windows功能使用的Token,若是不具高权限的使用者就能存取,就有可能很容易遭到滥用。其中,影响最为直接的就是SAM,因为这个组态档案包含了电脑所有使用者的密码杂凑值,对于攻击者而言,可用来存取特定的使用者账号。
一般来说,这些Windows登录档的组态档案无法直接存取,若是使用者意图存取,系统会显示已被其他程式使用而无法开启。但Jonas Lykkegaard发现,这些组态档案通常会被磁盘区阴影复制工具留存副本,且副本里的组态档案不需具备特殊权限就能存取。
上述的问题究竟有多严重?开发Mimikatz工具的资安研究员Benjamin Delpy指出,攻击者可借此轻易偷取NTLM的密码杂凑值,来提升权限,若是进一步运用这项漏洞,他认为攻击者可以发动名为Silver Ticket的进阶攻击。这名研究员也透过影片,展示CVE-2021-36934的概念性验证(PoC)攻击。
而对于该漏洞的影响范围,美国电脑网络危机处理暨协调中心(CERT/CC)漏洞分析师Will Dormann与SANS专家Jeff McJunkin不约而同指出,可能与Windows 10 1809版微软更动的权限配置有关,自该版本之后的Windows都会受到影响。而这样的推论也得到微软的证实。
上述漏洞的发现,微软亦于7月20日发布安全通告,并于隔日提出缓解措施。该公司建议使用者透过以下步骤缓解:包含删除磁盘区阴影复制的副本资料、删除系统还原的相关资料,以及限缩对于%windir%\\system32\\config资料夹内容的存取,来防范攻击者滥用CVE-2021-36934。
相关文章
- YouTube更新违反规定政策,提升惩处透明度和一致性
2023-12-31 14:00:52
- 传苹果将把中国iCloud正式交给本地化经营 苹果手机icloud换区存储操作
2023-12-27 18:34:43
- 刘德华代言什么手机?刘德华成华为Mate 60 RS非凡大师华为5G新手机代言人
2023-09-26 21:55:08
- WebOS新系统:Palm Pre手机最新款高价登港
2023-06-23 15:39:14
- 帮助企业组织对抗勒索软件,资安通报机构设立防护专区,可协助事前、事中与事后因应
2023-06-22 09:36:10
- 蔚来全系产品降价3万 取消免费换电 换一次电池180元
2023-06-12 17:27:49
- 电商平台三巨头开打最大规模折扣 价格战再次打响
2023-03-05 18:58:40
- 爱立信节省成本裁员四千人 爱立信全球员工总数五分之一
2023-02-24 22:27:29
- 蜜芽关停近况,八位数重金买三字顶级新域名mia.com也关闭
2023-02-23 16:18:14
- 联想CEO杨元庆:联想集团需要裁员32%削减部分业务支出
2023-02-18 12:45:25
- 蓝色光标2022营收亏损18亿 客户预算减少明显
2023-02-18 12:40:08
- 三星工厂或将80%生产转至越南 因本地劳动力成本上升
2023-02-17 23:09:16
- 香港八达通卡如何激活?没用失效过期余额怎么办
2023-02-17 18:34:51
- 中兴通讯被曝将裁员20% 称只裁国外的
2023-02-17 18:33:26
- 苹果新iPhone15Pro手机终于改用USB-C(火牛)数据线??Lightning充电接口退出
2023-02-17 16:57:22
- 突发!蓝色光标曾为中国民企500强龙头 如今业绩亏损断崖下跌
2023-02-16 14:31:19
- 三星发布自家carplay车载中控系统 Car Mode for Galaxy 可以连接carplay吗?
2023-02-14 00:53:17
- Opera浏览器宣布集成ChatGPT 一键生成网页内容摘要
2023-02-14 00:32:08
- 谷歌google计划重返进入中国市场?但结果可能令你失望
2023-02-13 16:57:15
- Zoom紧急裁员1300人 佔员工总数15%
2023-02-08 14:59:11
最新资讯
- 淘宝天猫仅退款属于诈骗吗?淘宝天猫开始部分取消仅退款2024-10-01 13:01:28
- 哈啰app借钱|哈啰借钱app下载安装免费小小上当和电话骚扰2024-10-01 11:22:38
- 白嫖党|山西大同大学学生网购申请“仅退款”被拒骂客服一小时2024-09-27 09:10:44
- 北大数学教授袁新意《姜萍事件的疑点分析》点评姜萍板书 阿里巴巴竞赛受质疑2024-06-28 10:07:40
- 天猫新规可以无条件申请“仅退款”了?淘宝天猫又离狗多多零元购近了一步2024-06-28 09:27:13
手机
- 中国11月手机出货量增34% 5G手机出货量2709.2万部2023-12-28 19:27:57
- 荣耀发布新一代旗舰荣耀Magic5系列,新款上市价格分期0首付3999元起2023-03-06 16:12:32
- 美国商务部指违禁,长江存储被美国拜登制裁名单面临停工裁员2023-02-17 18:41:53
- 苹果Apple iOS车载系统CarPlay支持哪些更多汽车品牌2023-02-02 17:33:27
- 香港去哪买三星手机回来吗? 买香港便宜售价手机市场地点和网站2023-02-02 11:03:11
数码
- 华为5G芯片正式亮相:预示华为将发首款5G手机2023-08-31 13:22:33
- 腾讯传计划放弃虚拟现实VR硬件计划2023-02-17 23:32:30
- 三星手机份额大跌!三星手机中国市场份额变化国内仅剩3%2023-02-01 17:06:15
- 三星手机份额大跌在中国没市场了!国内市场占有率仅剩1%国外比苹果销量高2023-02-01 16:59:53
- vivo发布2022 vivoNEX手机极简易浏览器下载:简洁流畅无广告!2022-12-02 17:29:30
科技
- B站怎么炸崩了哔哩哔哩服务器今日怎么又炸挂了?技术团队公开早先原因2023-03-06 19:05:55
- 苹果iPhoneXS/XR手机电池容量续航最强?答案揭晓2023-02-19 15:09:54
- 华为荣耀两款机型起内讧:荣耀Play官方价格同价同配该如何选?2023-02-17 23:21:27
- google谷歌原生系统Pixel3 XL/4/5/6 pro手机价格:刘海屏设计顶配版曾卖6900元2023-02-17 18:58:09
- 科大讯飞同传同声翻译软件造假 浮夸不能只罚酒三杯2023-02-17 18:46:15