Windows 10驚傳一般使用者也能讀取SAM組態檔的弱點,恐被攻擊者濫用,獲得高系統權限

風險等級: 高度威脅
摘 要: 【弱點說明】事件通告:Windows 10驚傳一般使用者也能讀取SAM組態檔的弱點,恐被攻擊者濫用,獲得高系統權限

【影響範圍】

  • Windows Server 20H2 版本
  • Windows Server 2004 版本
  • Windows Server 2019 版本
  • Windows 10 20H2 版本
  • Windows 10 2004 版本
  • Windows 10 21H1 版本
  • Windows 10 1909 版本
  • Windows 10 1809 版本

【細節描述】

多個版本的Windows驚傳存在可提升本機權限(LPE)的弱點
CVE-2021-36934(亦稱HiveNightmare或SeriousSAM)而引起資安人員關注,微軟亦證實確有其事並提出緩解措施。
由於對多個系統文件(包括安全帳戶管理器 (SAM) 資料庫)的存取控制清單 (ACL) 過於寬鬆,因此存在特權提升弱點。成功利用此弱點的攻擊者可以使用 SYSTEM權限運行任意程式碼。然後攻擊者可以安裝程式;查看、更改或刪除數據資料;或創建具有完全用戶權限的新帳戶。攻擊者必須能夠在受害系統上執行程式碼才能利用此弱點。

【建議措施】

微軟建議 Windows使用者透過以下步驟緩解:包含刪除磁碟區陰影複製的副本資料、刪除系統還原的相關資料,以及限縮對於%windir%\system32\config資料夾內容的存取,來防範攻擊者濫用CVE-2021-36934。

參考資訊: Microsoft
iThome