- Сообщения
- 270
- Реакции
- 1.178
Новая уязвимость Windows 10 и Windows 11 позволяет любому пользователю получить права администратора
Операционные системы Windows 10 и Windows 11 оказались подвержены новой уязвимости «нулевого дня» CVE-2021-36934 локального повышения привилегий (известной как SeriousSAM или HiveNightmare)Операционные системы Windows 10 и Windows 11 оказались подвержены новой уязвимости «нулевого дня» CVE-2021-36934 локального повышения привилегий (известной как SeriousSAM или HiveNightmare)
Исследователь безопасности обнаружил, что пользователи с низкими привилегиями могут получать доступ к чувствительным файлам базы данных системного реестра. Реестр
База данных реестра разбита на разные файлы, такие как SYSTEM, SECURITY, SAM, DEFAULT и SOFTWARE, которые располагаются в папке по пути: C:\Windows\system32\config.
Поскольку эти файлы содержат конфиденциальную информацию обо всех учетных записях пользователей на устройстве и токенах безопасности, используемых функциями Windows, то их просмотр должен быть заблокирован для обычных пользователей с низкими привилегиями.
Это в особенности касается файла диспетчера учетных записей безопасности (Security Account Manager, SAM), который содержит хешированные пароли всех пользователей в системе. Данную информацию злоумышленники могут использовать для подтверждения своей личности.
Файл SAM доступен для просмотра любому пользователю
19 июля 2021 года исследователь безопасности Йонас Ликкегаард (
Эта информация подтвердилась при тестировании на полностью обновленной машине под управлением Windows 10, версия 20H2.
С такими низкими разрешениями на файлы, злоумышленник с ограниченными привилегиями на устройстве может извлечь NTLM-хеш паролей всех учетных записей на устройстве и использовать эти хэши в атаках для получения повышенных привилегий.
Поскольку файлы реестра, такие как файл SAM, постоянно используются операционной системой, то при попытке доступа к файлу вы получите сообщение о нарушении прав доступа, поскольку файлы открываются и блокируются другой программой.
Однако, Ликкегаард утверждает, что получить доступ к файлам реестра можно через теневые тома Windows без нарушения прав доступа. Например, злоумышленники могут использовать следующий путь пространства имен устройства Win32 теневых копий томов для доступа к SAM-файлу любого пользователя на компьютере:
\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\Windows\System32\config\SAM
Используя эти низкие и некорректные файловые разрешения, злоумышленники смогут легко украсть NTLM-хеш пароля учетной записи с повышенными правами, чтобы получить более высокие привилегии.
Атака SeriousSAM (HiveNightmare) продемонстрирована в видео исследователя безопасности Бенджамина Делпи (Benjamin Delpy). Он является создателем программы для извлечения учетных данных Mimikatz, которая использовалась для получения повышенных привилегий.
По мнению Делпи применение данной уязвимости не ограничивается кражей NTLM-хешей и повышением привилегий, ее также можно использовать для проведения атак типа «Silver Ticket».
Неясно, по какой причина Microsoft изменила разрешения в реестре, чтобы обычные пользователи могли просматривать чувствительные файлы.
Эксперты по безопасности Уилл Дорманн (Will Dormann) и Джефф МакДжанкин (Jeff McJunkin) отметили, что Microsoft представила изменения разрешений в Windows 10, версия 1809.
Дорманн сообщил, что при чистой установке Windows 10, версия 20H2 низкие файловые разрешения не обнаружены.
Похоже, что Microsoft устранила проблему с разрешениями при выполнении чистой установки системы, но не исправила проблему при обновлении до новых версий.
В опубликованном 20 июля бюллетене безопасности Microsoft подтвердила наличие данной уязвимости «нулевого дня», получившей идентификатор
Исследователь безопасности обнаружил, что пользователи с низкими привилегиями могут получать доступ к чувствительным файлам базы данных системного реестра. Реестр
Скрытое содержимое доступно для зарегистрированных пользователей!
и
Скрытое содержимое доступно для зарегистрированных пользователей!
выступает в роли репозитория конфигураций операционной системы и содержит хешированные пароли, пользовательские настройки, параметры конфигурации для приложений, ключи дешифрования системы и многое другое.База данных реестра разбита на разные файлы, такие как SYSTEM, SECURITY, SAM, DEFAULT и SOFTWARE, которые располагаются в папке по пути: C:\Windows\system32\config.
Поскольку эти файлы содержат конфиденциальную информацию обо всех учетных записях пользователей на устройстве и токенах безопасности, используемых функциями Windows, то их просмотр должен быть заблокирован для обычных пользователей с низкими привилегиями.
Это в особенности касается файла диспетчера учетных записей безопасности (Security Account Manager, SAM), который содержит хешированные пароли всех пользователей в системе. Данную информацию злоумышленники могут использовать для подтверждения своей личности.
Файл SAM доступен для просмотра любому пользователю
19 июля 2021 года исследователь безопасности Йонас Ликкегаард (
Скрытое содержимое доступно для зарегистрированных пользователей!
) связался с порталом BleepingComputer и сообщил о своей находке. Оказалось, что файлы реестра Windows 10 и Windows 11, связанные с диспетчером учетных записей безопасности (SAM) и всеми другими базами данных реестра, доступны для группы «Пользователи» с низкими привилегиями на устройстве.Эта информация подтвердилась при тестировании на полностью обновленной машине под управлением Windows 10, версия 20H2.
С такими низкими разрешениями на файлы, злоумышленник с ограниченными привилегиями на устройстве может извлечь NTLM-хеш паролей всех учетных записей на устройстве и использовать эти хэши в атаках для получения повышенных привилегий.
Поскольку файлы реестра, такие как файл SAM, постоянно используются операционной системой, то при попытке доступа к файлу вы получите сообщение о нарушении прав доступа, поскольку файлы открываются и блокируются другой программой.
Однако, Ликкегаард утверждает, что получить доступ к файлам реестра можно через теневые тома Windows без нарушения прав доступа. Например, злоумышленники могут использовать следующий путь пространства имен устройства Win32 теневых копий томов для доступа к SAM-файлу любого пользователя на компьютере:
\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\Windows\System32\config\SAM
Используя эти низкие и некорректные файловые разрешения, злоумышленники смогут легко украсть NTLM-хеш пароля учетной записи с повышенными правами, чтобы получить более высокие привилегии.
Атака SeriousSAM (HiveNightmare) продемонстрирована в видео исследователя безопасности Бенджамина Делпи (Benjamin Delpy). Он является создателем программы для извлечения учетных данных Mimikatz, которая использовалась для получения повышенных привилегий.
По мнению Делпи применение данной уязвимости не ограничивается кражей NTLM-хешей и повышением привилегий, ее также можно использовать для проведения атак типа «Silver Ticket».
Неясно, по какой причина Microsoft изменила разрешения в реестре, чтобы обычные пользователи могли просматривать чувствительные файлы.
Эксперты по безопасности Уилл Дорманн (Will Dormann) и Джефф МакДжанкин (Jeff McJunkin) отметили, что Microsoft представила изменения разрешений в Windows 10, версия 1809.
Дорманн сообщил, что при чистой установке Windows 10, версия 20H2 низкие файловые разрешения не обнаружены.
Похоже, что Microsoft устранила проблему с разрешениями при выполнении чистой установки системы, но не исправила проблему при обновлении до новых версий.
В опубликованном 20 июля бюллетене безопасности Microsoft подтвердила наличие данной уязвимости «нулевого дня», получившей идентификатор
Скрытое содержимое доступно для зарегистрированных пользователей!
(SeriousSAM, HiveNightmare). Компания сообщает:Редмонд рекомендует изменить разрешения для папки C:\Windows\system32\config, чтобы снизить риск эксплуатации уязвимости.
Как исправить уязвимость «нулевого дня» SeriousSAM (HiveNightmare) в Windows 10 и Windows 11
Инструкция по исправлению уязвимости «нулевого дня» (SeriousSAM, HiveNightmare, CVE-2021-36934) в операционных системах Windows 10, выпущенных с 2018 года, а также в новой ОС Windows 11Инструкция по исправлению уязвимости «нулевого дня» (SeriousSAM, HiveNightmare, CVE-2021-36934) в операционных системах Windows 10, выпущенных с 2018 года, а также в новой ОС Windows 11
Microsoft поделилась временным исправлением уязвимости нулевого дня (
Ошибка локального повышения привилегий в недавно выпущенных версиях Windows позволяет пользователям с низкими привилегиями получать доступ к конфиденциальным файлам базы данных реестра.
Исследовать безопасности также обнаружил, что Windows 11, находящаяся на этапе инсайдерского тестирования, также уязвима.
Разработчик Mimikatz - приложения с открытым исходным кодов, позвляющее пользователям просматривать и сохранять учетные данные аутентификации, Бенджамин Делпи сообщил порталу
Хотя злоумышленники не могут напрямую получить доступ к базам данных из-за нарушений доступа, вызванных файлами, всегда используемыми ОС, они могут получить к ним доступ через теневые копии томов.
Microsoft рекомендует ограничить доступ к проблемной папке и удалить теневые копии службы теневого копирования томов (VSS), чтобы смягчить данную проблему.
Пользователи должны знать, что удаление теневых копий из их систем может повлиять на операции восстановления системы и файлов, такие как восстановление данных с помощью сторонних приложений для резервного копирования.
Вот шаги, необходимые для временной блокировки использования уязвимости «нулевого дня» (SeriousSAM, HiveNightmare, CVE-2021-36934):
Ограничьте доступ к содержимому %windir%\system32\config:
Удалите теневые копии службы теневого копирования томов (VSS):
Запустите Командную строку Windows (наберите «cmd.exe» в строке поиска внизу экрана) и введите следующую команду, затем нажмите клавишу Enter:
icacls c:\windows\system32\config\sam
Если вы получили ответ, содержащий следующую строку:
BUILTIN\Users:(I)(RX)
... то это означает, что непривилегированные пользователи могут читать файл SAM, и ваша система может быть уязвима.
В таком случае вы захотите проверить, существуют ли теневые копии. Для этого вам нужно будет запустить Командную строку от имени Администратора.
В окно Командной строки введите следующую команду и затем нажмите клавишу Enter:
vssadmin list shadows
У вас отобразится полный отчет, который выглядит следующим образом:
Contents of shadow copy set ID: {d9e0503a-bafa-4255-bfc5-b781cb27737e}
Contained 1 shadow copies at creation time: 7/19/2021 9:30:13 AM
Shadow Copy ID: {5b5d02a8-44e9-420e-9ec9-a585cd991ed8}
Original Volume: (C:)\?\Volume{b7f4115b-4242-4e13-84c0-869524965718}\
Shadow Copy Volume: \?\GLOBALROOT\Device\HarddiskVolumeShadowCopy2
Originating Machine: DESKTOP-CHOLLIMA
Service Machine: DESKTOP-CHOLLIMA
Provider: 'Microsoft Software Shadow Copy provider 1.0'
Type: ClientAccessibleWriters
Attributes: Persistent, Client-accessible, No auto release, Differential, Auto recovered
В случае отсутствия теневой копии вы получили следующий результат вывода предыдущей команды:
Отсутствуют элементы, соответствующие запросу.
Итак, если по результату двух проверок оказалось, что обычные пользователи имеют доступ к чтению файла SAM и вас также существуют теневые копии, то ваша система Windows уязвима для атак.
В ответ вы должны получить следующий вывод:
Отсутствуют элементы, соответствующие запросу.
Microsoft поделилась временным исправлением уязвимости нулевого дня (
Скрытое содержимое доступно для зарегистрированных пользователей!
) в
Скрытое содержимое доступно для зарегистрированных пользователей!
и
Скрытое содержимое доступно для зарегистрированных пользователей!
, которая может позволить злоумышленникам получить права администратора в уязвимых системах и выполнить произвольный код с привилегиями SYSTEM.Ошибка локального повышения привилегий в недавно выпущенных версиях Windows позволяет пользователям с низкими привилегиями получать доступ к конфиденциальным файлам базы данных реестра.
Уязвимы все версии Windows 10, выпущенные с 2018 года, а также Windows 11
Брешь в системе безопасности, публично раскрытая исследователем безопасности Йонасом Ликкегаардом (
Скрытое содержимое доступно для зарегистрированных пользователей!
) , опубликованная в Twitter и еще не получившая официального исправления, теперь отслеживается Microsoft как уязвимость CVE-2021-36934.Как далее сообщили в компании Microsoft, данная уязвимость «нулевого дня» затрагивает все выпуски Windows с октября 2018 года, начиная с Windows 10 версии 1809.
Исследовать безопасности также обнаружил, что Windows 11, находящаяся на этапе инсайдерского тестирования, также уязвима.
Исправление уязвимости «нулевого дня» SeriousSAM (HiveNightmare, CVE-2021-36934)
Базы данных, открытые для несанкционированного доступа пользователей из-за этой уязвимости - SYSTEM, SECURITY, SAM, DEFAULT, и SOFTWARE, расположены в папке C:\Windows\system32\config.Разработчик Mimikatz - приложения с открытым исходным кодов, позвляющее пользователям просматривать и сохранять учетные данные аутентификации, Бенджамин Делпи сообщил порталу
Скрытое содержимое доступно для зарегистрированных пользователей!
, что злоумышленник может легко воспользоваться неверными правами доступа к файлу, чтобы украсть NTLM-хешированный пароль учетной записи с повышенными правами и получить более высокие привилегии с помощью атаки pass-the-hash.Хотя злоумышленники не могут напрямую получить доступ к базам данных из-за нарушений доступа, вызванных файлами, всегда используемыми ОС, они могут получить к ним доступ через теневые копии томов.
Microsoft рекомендует ограничить доступ к проблемной папке и удалить теневые копии службы теневого копирования томов (VSS), чтобы смягчить данную проблему.
Имейте ввиду!
Пользователи должны знать, что удаление теневых копий из их систем может повлиять на операции восстановления системы и файлов, такие как восстановление данных с помощью сторонних приложений для резервного копирования.
Вот шаги, необходимые для временной блокировки использования уязвимости «нулевого дня» (SeriousSAM, HiveNightmare, CVE-2021-36934):
Ограничьте доступ к содержимому %windir%\system32\config:
- Откройте Командную строку от имени Администратора.
- Выполните следующую команду:
Удалите теневые копии службы теневого копирования томов (VSS):
- Удалите все точки восстановления системы и теневые тома, которые существовали до ограничения доступа к %windir%\system32\config
- Создайте новую точку восстановления системы (при желании).
Подробно: Как исправить уязвимость «нулевого дня» SeriousSAM (HiveNightmare)
Как проверить, уязвим ли ваш компьютер
Вы можете проверить, подвержен ли ваш компьютер уязвимости (SeriousSAM, HiveNightmare, CVE-2021-36934), проверив два момента.Запустите Командную строку Windows (наберите «cmd.exe» в строке поиска внизу экрана) и введите следующую команду, затем нажмите клавишу Enter:
icacls c:\windows\system32\config\sam
Если вы получили ответ, содержащий следующую строку:
BUILTIN\Users:(I)(RX)
... то это означает, что непривилегированные пользователи могут читать файл SAM, и ваша система может быть уязвима.
В таком случае вы захотите проверить, существуют ли теневые копии. Для этого вам нужно будет запустить Командную строку от имени Администратора.
В окно Командной строки введите следующую команду и затем нажмите клавишу Enter:
vssadmin list shadows
У вас отобразится полный отчет, который выглядит следующим образом:
Contents of shadow copy set ID: {d9e0503a-bafa-4255-bfc5-b781cb27737e}
Contained 1 shadow copies at creation time: 7/19/2021 9:30:13 AM
Shadow Copy ID: {5b5d02a8-44e9-420e-9ec9-a585cd991ed8}
Original Volume: (C:)\?\Volume{b7f4115b-4242-4e13-84c0-869524965718}\
Shadow Copy Volume: \?\GLOBALROOT\Device\HarddiskVolumeShadowCopy2
Originating Machine: DESKTOP-CHOLLIMA
Service Machine: DESKTOP-CHOLLIMA
Provider: 'Microsoft Software Shadow Copy provider 1.0'
Type: ClientAccessibleWriters
Attributes: Persistent, Client-accessible, No auto release, Differential, Auto recovered
В случае отсутствия теневой копии вы получили следующий результат вывода предыдущей команды:
Отсутствуют элементы, соответствующие запросу.
Итак, если по результату двух проверок оказалось, что обычные пользователи имеют доступ к чтению файла SAM и вас также существуют теневые копии, то ваша система Windows уязвима для атак.
Моя система уязвима. Что теперь делать?
Рассмотрим инструкцию по ограничению уязвимости. Дорманн из координационного центра CERT/CC рекомендует предпринять следующие шаги, чтобы избежать риска атак с использованием этой уязвимости. Обратите внимание, что описанное ниже решение удалит существующие теневые копии, поэтому ваш компьютер временно не будет иметь точек восстановления.- Откройте Командную строку от имени Администратора (Windows PowerShell тоже подойдет).
- Заблокируйте доступ «пользователей» к конфиденциальным файлам реестра, введя следующую команду и затем нажмите на клавишу Enter:
- Удалите существующие теневые копии на каждом диске. Для диска C: введите следующую команду и нажмите Enter:
- Аналогично удалите существующие теневые копии для других дисков (D, E и т.д)
- Убедитесь, что все теневые копии удалены, набрав следующую команду и нажав Enter:
В ответ вы должны получить следующий вывод:
Отсутствуют элементы, соответствующие запросу.
- Перезагрузите систему.
- Создайте новую точку восстановления, набрав «создание» в строке поиска, выбрав «Создание точки восстановления» и нажав кнопку «Создать» в следующем окне.
Скрытое содержимое доступно для зарегистрированных пользователей!
