对于Windows用户而言,这个月接连被安全研究人员发现PrintNighmare等多个漏洞,都与打印多任务缓冲处理器模块(Print Spooler)有关,攻击者可滥用于本机提升权限(LPE),有的甚至能用来远程执行程序代码(RCE)攻击。
然而,安全研究社团Secret Club研究员Jonas Lykkegaard发现,Windows 10、Windows 11存在可被用于提升本机用户权限的漏洞CVE-2021-36934,而这个漏洞形成的原因,是受到磁盘区阴影复制(Volume Shadow Copy)配置的访问权限有关,导致一般用户就能访问安全性账户管理员(SAM)的文件。此漏洞很快就得到微软证实,该公司也提出缓解措施,但尚未推出修补程序。
关于这个漏洞的称呼,除了微软提报为CVE-2021-36934列管,还有2个用来形容它的名称。例如,Bleeping Computer、The Record、Threatpost等新闻网站称之为SeriousSAM,而安全企业Malwarebytes与Sophos则称作HiveNightmare。
这个漏洞并非直接在Windows 10上发现,而是微软始于6月底推出的Windows 11测试版本。Jonas Lykkegaard在测试Windows 11时,意外发现新的漏洞:一般低权限的用户,也能通过磁盘区阴影复制的副本内容,读取SAM的文件。这样的情形,一度被许多人以为只存在于上述测试版操作系统,但随后也被其他研究人员与安全新闻网站Bleeping Computer验证,多个版本的Windows 10,在安装所有的修补程序后,也存在相同的漏洞。
yarh- for some reason on win11 the SAM file now is READ for users.
So if you have shadowvolumes enabled you can read the sam file like this:
I dont know the full extent of the issue yet, but its too many to not be a problem I think.pic.twitter.com/kl8gQ1FjFt
—Jonas L (@jonasLyk)July 19, 2021
而同样能以相同手法被一般用户直接访问的组态设置,并非只有SAM。Jonas Lykkegaard向Bleeping Computer进一步说明,其他存放于%windir%\system32\config文件夹的组态设置文件,也存在相同的问题,而这些是与Windows注册表有关的资料,涉及计算机里所有用户的敏感资料,以及Windows功能使用的Token,若是不具高权限的用户就能访问,就有可能很容易遭到滥用。其中,影响最为直接的就是SAM,因为这个组态文件包含了计算机所有用户的密码散列值,对于攻击者而言,可用来访问特定的用户账号。
一般来说,这些Windows注册表的组态文件无法直接访问,若是用户意图访问,系统会显示已被其他程序使用而无法打开。但Jonas Lykkegaard发现,这些组态文件通常会被磁盘区阴影复制工具留存副本,且副本里的组态文件不需具备特殊权限就能访问。
上述的问题究竟有多严重?开发Mimikatz工具的安全研究员Benjamin Delpy指出,攻击者可借此轻易偷取NTLM的密码散列值,来提升权限,若是进一步运用这项漏洞,他认为攻击者可以发动名为Silver Ticket的高端攻击。这名研究员也通过视频,展示CVE-2021-36934的概念性验证(PoC)攻击。
而对于该漏洞的影响范围,美国计算机网络危机处理暨协调中心(CERT/CC)漏洞分析师Will Dormann与SANS专家Jeff McJunkin不约而同指出,可能与Windows 10 1809版微软变动的权限配置有关,自该版本之后的Windows都会受到影响。而这样的推论也得到微软的证实。
上述漏洞的发现,微软也于7月20日发布安全通告,并于隔日提出缓解措施。该公司建议用户通过以下步骤缓解:包含删除磁盘区阴影复制的副本资料、删除系统还原的相关资料,以及限缩对于%windir%\system32\config文件夹内容的访问,来防范攻击者滥用CVE-2021-36934。