Windows 10 系統(tǒng)中被爆出存在本地提權(quán)漏洞 HiveNightmare，可訪問注冊表中不被允許訪問的區(qū)域。黑客在獲得訪問權(quán)限之后可用于尋找登陸憑證、獲得 DPAPI 解密密鑰等等。這個漏洞同樣存在于 Windows 11 系統(tǒng)中。

這個漏洞緊隨 PrintNightmare 安全漏洞之后被發(fā)現(xiàn)，因此該零日漏洞被稱之為 HiveNightmare（因為它允許訪問注冊表蜂巢）。雖然目前沒有補丁，但微軟已經(jīng)提供了在此期間的解決方法的細節(jié)。

通過該漏洞，黑客能未經(jīng)授權(quán)的情況下訪問注冊表的敏感部分，特別是安全賬戶管理器（SAM）、系統(tǒng)和 SECURITY hive 文件。US-CERT 公告警告說，該安全漏洞影響到?Windows?10?Version 1809 及以上版本。一位安全專家表示 Windows 11 同樣受到影響。

US-CERT 在公告中明確了該漏洞的潛在影響，包括但不限于：

● 提取和利用賬戶密碼哈希值。

● 發(fā)現(xiàn)原始的Windows安裝密碼。

● 獲得DPAPI計算機密鑰，可用于解密所有計算機私鑰。

● 獲得計算機機器賬戶，可用于銀票攻擊。

該漏洞被追蹤為CVE-2021-36934，微軟描述為：

由于多個系統(tǒng)文件（包括安全賬戶管理器數(shù)據(jù)庫）的訪問控制列表（ACL）過于寬松，存在一個權(quán)限提升的漏洞。成功利用該漏洞的攻擊者可以用SYSTEM權(quán)限運行任意代碼。然后，攻擊者可以安裝程序；查看、更改或刪除數(shù)據(jù)；或創(chuàng)建具有完全用戶權(quán)限的新賬戶。攻擊者必須有能力在受害者系統(tǒng)上執(zhí)行代碼才能利用這個漏洞。

目前微軟官方已經(jīng)著手該漏洞的補丁開發(fā)工作，不過分享了一個臨時解決方案：

● 限制對 %windir%\system32\config 內(nèi)容的訪問

1. 以管理員身份打開命令提示符或 Windows PowerShell

2. 運行此命令：icacls %windir%\system32\config\*.* /inheritance:e

● 刪除 Volume Shadow Copy Service (VSS) 的陰影副本

1. 刪除在限制訪問%windir%\system32\config之前存在的任何系統(tǒng)還原點和陰影卷。

2. 創(chuàng)建一個新的系統(tǒng)還原點（如果需要）。

● 影響解決方案

刪除可能影響恢復運作的陰影副本，包括能夠恢復數(shù)據(jù)的第三方備份應用。

● 注意

你必須限制訪問并刪除影子副本以防止利用此漏洞。

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級服務(wù)市場：https://www.ijiandao.com/