聲明：該文章由作者（amiao）發(fā)表，轉(zhuǎn)載此文章須經(jīng)作者同意并請(qǐng)附上出處(0XUCN)及本頁(yè)鏈接。。

Windows 10 系統(tǒng)中被爆出存在本地提權(quán)漏洞 HiveNightmare，可訪問(wèn)注冊(cè)表中不被允許訪問(wèn)的區(qū)域。黑客在獲得訪問(wèn)權(quán)限之后可用于尋找登陸憑證、獲得 DPAPI 解密密鑰等等。這個(gè)漏洞同樣存在于 Windows 11 系統(tǒng)中。

這個(gè)漏洞緊隨 PrintNightmare 安全漏洞之后被發(fā)現(xiàn)，因此該零日漏洞被稱(chēng)之為 HiveNightmare（因?yàn)樗试S訪問(wèn)注冊(cè)表蜂巢）。雖然目前沒(méi)有補(bǔ)丁，但微軟已經(jīng)提供了在此期間的解決方法的細(xì)節(jié)。

通過(guò)該漏洞，黑客能未經(jīng)授權(quán)的情況下訪問(wèn)注冊(cè)表的敏感部分，特別是安全賬戶管理器（SAM）、系統(tǒng)和 SECURITY hive 文件。US-CERT 公告警告說(shuō)，該安全漏洞影響到?Windows?10?Version 1809 及以上版本。一位安全專(zhuān)家表示 Windows 11 同樣受到影響。

US-CERT 在公告中明確了該漏洞的潛在影響，包括但不限于：

● 提取和利用賬戶密碼哈希值。

● 發(fā)現(xiàn)原始的Windows安裝密碼。

● 獲得DPAPI計(jì)算機(jī)密鑰，可用于解密所有計(jì)算機(jī)私鑰。

● 獲得計(jì)算機(jī)機(jī)器賬戶，可用于銀票攻擊。

該漏洞被追蹤為CVE-2021-36934，微軟描述為：

由于多個(gè)系統(tǒng)文件（包括安全賬戶管理器數(shù)據(jù)庫(kù)）的訪問(wèn)控制列表（ACL）過(guò)于寬松，存在一個(gè)權(quán)限提升的漏洞。成功利用該漏洞的攻擊者可以用SYSTEM權(quán)限運(yùn)行任意代碼。然后，攻擊者可以安裝程序；查看、更改或刪除數(shù)據(jù)；或創(chuàng)建具有完全用戶權(quán)限的新賬戶。攻擊者必須有能力在受害者系統(tǒng)上執(zhí)行代碼才能利用這個(gè)漏洞。

目前微軟官方已經(jīng)著手該漏洞的補(bǔ)丁開(kāi)發(fā)工作，不過(guò)分享了一個(gè)臨時(shí)解決方案：

● 限制對(duì) %windir%\system32\config 內(nèi)容的訪問(wèn)

1. 以管理員身份打開(kāi)命令提示符或 Windows PowerShell

2. 運(yùn)行此命令：icacls %windir%\system32\config\*.* /inheritance:e

● 刪除 Volume Shadow Copy Service (VSS) 的陰影副本

1. 刪除在限制訪問(wèn)%windir%\system32\config之前存在的任何系統(tǒng)還原點(diǎn)和陰影卷。

2. 創(chuàng)建一個(gè)新的系統(tǒng)還原點(diǎn)（如果需要）。

● 影響解決方案

刪除可能影響恢復(fù)運(yùn)作的陰影副本，包括能夠恢復(fù)數(shù)據(jù)的第三方備份應(yīng)用。

● 注意

你必須限制訪問(wèn)并刪除影子副本以防止利用此漏洞。

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級(jí)服務(wù)市場(chǎng)：https://www.ijiandao.com/