Windows 11也受影响：本地提权漏洞HiveNightmare曝光

声明：该文章由作者（amiao）发表，转载此文章须经作者同意并请附上出处(0XUCN)及本页链接。。

Windows 10 系统中被爆出存在本地提权漏洞 HiveNightmare，可访问注册表中不被允许访问的区域。黑客在获得访问权限之后可用于寻找登陆凭证、获得 DPAPI 解密密钥等等。这个漏洞同样存在于 Windows 11 系统中。

这个漏洞紧随 PrintNightmare 安全漏洞之后被发现，因此该零日漏洞被称之为 HiveNightmare（因为它允许访问注册表蜂巢）。虽然目前没有补丁，但微软已经提供了在此期间的解决方法的细节。

通过该漏洞，黑客能未经授权的情况下访问注册表的敏感部分，特别是安全账户管理器（SAM）、系统和 SECURITY hive 文件。US-CERT 公告警告说，该安全漏洞影响到 Windows 10 Version 1809 及以上版本。一位安全专家表示 Windows 11 同样受到影响。

US-CERT 在公告中明确了该漏洞的潜在影响，包括但不限于：

● 提取和利用账户密码哈希值。

● 发现原始的Windows安装密码。

● 获得DPAPI计算机密钥，可用于解密所有计算机私钥。

● 获得计算机机器账户，可用于银票攻击。

该漏洞被追踪为CVE-2021-36934，微软描述为：

由于多个系统文件（包括安全账户管理器数据库）的访问控制列表（ACL）过于宽松，存在一个权限提升的漏洞。成功利用该漏洞的攻击者可以用SYSTEM权限运行任意代码。然后，攻击者可以安装程序；查看、更改或删除数据；或创建具有完全用户权限的新账户。攻击者必须有能力在受害者系统上执行代码才能利用这个漏洞。

目前微软官方已经着手该漏洞的补丁开发工作，不过分享了一个临时解决方案：

● 限制对 %windir%\system32\config 内容的访问

1. 以管理员身份打开命令提示符或 Windows PowerShell

2. 运行此命令：icacls %windir%\system32\config\*.* /inheritance:e

● 删除 Volume Shadow Copy Service (VSS) 的阴影副本

1. 删除在限制访问%windir%\system32\config之前存在的任何系统还原点和阴影卷。

2. 创建一个新的系统还原点（如果需要）。

● 影响解决方案

删除可能影响恢复运作的阴影副本，包括能够恢复数据的第三方备份应用。

● 注意

你必须限制访问并删除影子副本以防止利用此漏洞。

[超站]友情链接：

四季很好，只要有你，文娱排行榜：https://www.yaopaiming.com/
关注数据与安全，洞悉企业级服务市场：https://www.ijiandao.com/