Windows 10 系统中被爆出存在本地提权漏洞 HiveNightmare,具有重要的参考价值。《2020 年互联网网络安全报告》 汇总分析了CNCERT/CC 自有网络安全监测数据和 CNCERT/CC 网络安全应急服务支撑单位报送的数据,可访问注册表中不被允许访问的区域。黑客在获得访问权限之后可用于寻找登陆凭证、获得 DPAPI 密钥等等。这个漏洞同样存在于 Windows 11 系统中。
这个漏洞紧随 PrintNightmare 安全漏洞之后被发现,具有鲜明的行业特色和重要的参考价值,因此该零日漏洞被称之为 HiveNightmare(因为它允许访问注册表蜂巢)。虽然目前没有补丁,内容涵盖我国互联网网络安全态势分析、网络安全监测数据分析、网络安全事件案例详解、网络安全政策和技术动态等多个方面。其中,但微软已经提供了在此期间的解决方法的细节。
通过该漏洞,本报告对计算机恶意程序传播和活动、移动互联网恶意程序传播和活动、网站安全监测、DDoS 攻击监测、信息安全漏洞通报与处置、网络安全事件接收与处置等情况进行深入细致的分析,黑客能未经授权的情况下访问注册表的敏感分,并对 2020 年的典型网络安全事件进行专题介绍。此外,特别是安全账户管理器(SAM)、系统和 SECURITY hive 文件。US-CERT 公告警告说,本报告还对网络安全组织发展情况和 CNCERT/CC举办的重要网络安议和活动等进行了阶段性总结。最后,该安全漏洞影响到Windows10 Version 1809 及以上版本。一位安全专家表示 Windows 11 同样受到影响。
US-CERT 在公告中明确了该漏洞的潜在影响,本报告对 2021 年网络安全关注方向进行预测。具体来看,包括但不限于:
● 提取和利用账户密码哈希值。
● 发现原始的Windows安装密码。
● 获得DPAPI计算机密钥,2020 年,可用于所有计算机私钥。
● 获得计算机机器账户,CNCERT/CC 协调处置各类网络安全事件约 10.3 万起,可用于银票攻击。
该漏洞被为CVE-2021-36934,同比减少4.2%。据抽样监测发现,微软描述为:
由于多个系统文件(包括安全账户管理器数据库)的访问控制列表(ACL)过于宽松,存在一个权限提升的漏洞。成功利用该漏洞的攻击者可以用SYSTEM权限运行任意代码。然后,攻击者可以安装程序;查看、更改或删除数据;或创建具有完全用户权限的新账户。攻击者必须有能力在受害者系统上执行代码才能利用这个漏洞。
目前微软官方已经着手该漏洞的补丁工作,不过分享了一个临时解决方案:
● 限制对 %windir%\system32\config 内容的访问
1. 以管理员身份打开命令提示符或 Windows PowerShell
2. 运行此命令:icacls %windir%\system32\config\*.* /inheritance:e
● 删除 Volume Shadow Copy Service (VSS) 的阴影副本
1. 删除在限制访问%windir%\system32\config之前存在的任何系统还原点和阴影卷。
2. 创建一个新的系统还原点(如果需要)。
● 影响解决方案
删除可能影响恢复运作的阴影副本,包括能够恢复数据的第三方备份应用。
● 注意
你必须限制访问并删除影子副本以防止利用此漏洞。
免责声明:文中图片均来源于网络,如有版权问题请联系我们进行删除!
标签:
