可以使任何人獲得管理員許可權的Windows 10系統漏洞

語言: CN / TW / HK

低許可權的使用者可以訪問敏感登錄檔資料庫檔案,Windows 10和11被爆本地許可權提升漏洞。

Windows Registry(登錄檔)是Windows作業系統的配置檔案庫,其中含有雜湊後的密碼、使用者定製資料、應用配置選項、系統解密金鑰等資料。

研究人員發現低許可權的使用者可以訪問敏感登錄檔資料庫檔案後,Windows 10和Windows 11作業系統就可以實現利用這一問題實現本地許可權提升。

與Windows登錄檔相關的資料庫檔案儲存在C:\Windows\system32\config 資料夾下,並被分成不同的檔案比如SYSTEM、SECURITY、SAM、DEFAULT和 SOFTWARE。這些檔案中含有與裝置上使用者賬號相關的敏感資訊,以及Windows特徵使用的安全token,因此沒有特權的普通使用者應當被限制檢視許可權。

尤其是Security Account Manager (SAM)檔案,其中含有系統中所有使用者的雜湊後的密碼,攻擊者可以利用這些資訊來推測使用者身份。

任何人都可以讀取SAM檔案

安全研究人員Jonas Lykkegaard稱發現Windows 10和Windows 11中與Security Account Manager (SAM)相關的登錄檔檔案以及其他登錄檔資料庫都可以被裝置上低許可權的user組訪問。

BleepingComputer研究人員在Windows 10 20H2裝置上確認了這些許可權:

 SAM檔案的檔案許可權

由於檔案許可權很低,因此許可權非常有限的攻擊者也可以提取裝置上NTLM雜湊過的口令並使用這些雜湊值來獲取提升後的許可權。

SAM檔案這樣的登錄檔檔案經常被作業系統使用,當用戶嘗試訪問該檔案時,常常會收到檔案已開啟或被其他程式鎖定的訪問限制提示。

無法訪問開啟的SAM檔案

但包括SAM在內的登錄檔檔案會在Windows卷影副本中備份,而訪問卷影副本不會出現訪問限制的情況。

比如,攻擊者可以使用如下的win32裝置名稱空間路徑來訪問SAM檔案:

\\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\Windows\System32\config\SAM

由於低檔案許可權和不準確的檔案許可權,以及檔案的卷影副本,安全研究人員Benjamin Delpy稱可以非常容易地竊取其他賬號的NTML雜湊密碼來實現許可權提升。

PoC視訊如下所示:

 https://vimeo.com/577234015

除了竊取NTLM雜湊值和進行許可權提升外,Delpy稱低訪問許可權還可以用於其他的攻擊活動,比如Silver Ticket攻擊。

目前,尚不清楚微軟為什麼要講登錄檔的許可權修改為普通使用者也可以讀取。但CERT/CC漏洞分析員 Will Dormann稱,微軟是在Windows 10 1809 版本中引入的這些許可權變化。Dormann在安裝今年6月最新版本的Windows 10 20H2時這些低許可權的情況並沒有發生。

 

白嫖網安學習資料