Windows 10 系統(tǒng)中被爆出存在本地提權(quán)漏洞 HiveNightmare，可訪問注冊表中不被允許訪問的區(qū)域。黑客在獲得訪問權(quán)限之后可用于尋找登陸憑證、獲得 DPAPI 解密密鑰等等。這個(gè)漏洞同樣存在于 Windows 11 系統(tǒng)中。

這個(gè)漏洞緊隨 PrintNightmare 安全漏洞之后被發(fā)現(xiàn)，因此該零日漏洞被稱之為 HiveNightmare（因?yàn)樗试S訪問注冊表蜂巢）。雖然目前沒有補(bǔ)丁，但微軟已經(jīng)提供了在此期間的解決方法的細(xì)節(jié)。

通過該漏洞，黑客能未經(jīng)授權(quán)的情況下訪問注冊表的敏感部分，特別是安全賬戶管理器（SAM）、系統(tǒng)和 SECURITY hive 文件。US-CERT 公告警告說，該安全漏洞影響到 Windows 10 Version 1809 及以上版本。一位安全專家表示 Windows 11 同樣受到影響。

US-CERT 在公告中明確了該漏洞的潛在影響，包括但不限于：

● 提取和利用賬戶密碼哈希值。

● 發(fā)現(xiàn)原始的Windows安裝密碼。

● 獲得DPAPI計(jì)算機(jī)密鑰，可用于解密所有計(jì)算機(jī)私鑰。

● 獲得計(jì)算機(jī)機(jī)器賬戶，可用于銀票攻擊。

該漏洞被追蹤為CVE-2021-36934，微軟描述為：

由于多個(gè)系統(tǒng)文件（包括安全賬戶管理器數(shù)據(jù)庫）的訪問控制列表（ACL）過于寬松，存在一個(gè)權(quán)限提升的漏洞。成功利用該漏洞的攻擊者可以用SYSTEM權(quán)限運(yùn)行任意代碼。然后，攻擊者可以安裝程序；查看、更改或刪除數(shù)據(jù)；或創(chuàng)建具有完全用戶權(quán)限的新賬戶。攻擊者必須有能力在受害者系統(tǒng)上執(zhí)行代碼才能利用這個(gè)漏洞。

目前微軟官方已經(jīng)著手該漏洞的補(bǔ)丁開發(fā)工作，不過分享了一個(gè)臨時(shí)解決方案：

● 限制對(duì) %windir%system32config 內(nèi)容的訪問

1. 以管理員身份打開命令提示符或 Windows PowerShell

2. 運(yùn)行此命令：icacls %windir%system32config*.* /inheritance:e

● 刪除 Volume Shadow Copy Service (VSS) 的陰影副本

1. 刪除在限制訪問%windir%system32config之前存在的任何系統(tǒng)還原點(diǎn)和陰影卷。

2. 創(chuàng)建一個(gè)新的系統(tǒng)還原點(diǎn)（如果需要）。

● 影響解決方案

刪除可能影響恢復(fù)運(yùn)作的陰影副本，包括能夠恢復(fù)數(shù)據(jù)的第三方備份應(yīng)用。

● 注意

你必須限制訪問并刪除影子副本以防止利用此漏洞。

（舉報(bào)）