作者：左右里

编辑：釉子

7月20日，微软确认了一个新的本地提权漏洞，安全研究成员将其称为HiveNightmare或者SeriousSAM，该漏洞允许低权限的用户访问Windows系统文件。成功利用此漏洞的攻击者可以使用SYSTEM特权运行任意代码。然后攻击者就可以安装程序、查看更改删除数据或创建具有完全用户权限的新账户。

微软发文称，由于多个系统文件（包括安全账户管理器数据库SAM）过度许可访问控制列表，导致出现本地提权漏洞。

• 提取和利用帐户密码。
• 发现原始的 Windows 安装密码。
• 获取 DPAPI 计算机密钥，可用于解密所有计算机私钥。
• 获取计算机帐户，可用于银票攻击。

据悉，该漏洞会影响Windows自2018年10月以来发布的版本，即Windows 10 Version 1809以后的版本。

如果你的系统在这个范围内，想知道自己的系统是否容易受到攻击，可以从低权限命令提示符中使用以下命令：

icacls c:\windows\system32\config\sam

如果输出：

BUILTIN\Users:(I)(RX)

表示该系统易受攻击。

如果输出：

C:\Windows\system32\config\sam: Access is denied.

Successfully processed 0 files; Failed processing 1 files

说明该系统不易受攻击。

微软目前仍在研究该漏洞（编号为CVE-2021-36934），还未发布补丁更新。不过微软提供了一个临时性的解决方案。

首先要限制对 %windir%\system32\config 内容的访问：

1. 以管理员身份打开命令提示符或 Windows PowerShell

2. 运行此命令：icacls %windir%\system32\config\*.* /inheritance:e

然后删除 Volume Shadow Copy Service (VSS) 的卷影副本：

1. 删除在限制访问%windir%\system32\config之前存在的任何系统还原点和卷影副本。

2. 创建一个新的系统还原点。

不过大家在操作时需要注意的是，从系统中删除卷影副本会影响系统和文件的“恢复“操作。

公众号ID：ikanxue

官方微博：看雪安全

商务合作：[email protected]

球分享

球点赞

球在看

戳“阅读原文”一起来充电吧！