HiveNightmare 又名 SeriousSAM – 任何人都可以读取 Windows 10 中的注册表

这是关于所有非管理员用户如何在各种版本的 Windows 10 上读取注册表——从而提升权限和访问敏感凭据信息的故事。这个漏洞似乎已经存在多年，但没有人注意到。在这篇文章中，我做了一个漏洞利用来测试它。最近，乔纳斯在推特上发布了一些有趣的东西。乔纳斯当时没有意识到的是，当系统保护又名影子卷被启用时，Windows 10 也有相同的行为，这应该是大多数情况下的默认设置。它不应该。这打破了安全屏障，因为 SAM 是一个敏感的注册表配置单元，而 BUILTIN\Users 包括非管理员。该文件夹还有其他敏感的注册表配置单元——例如 SYSTEM、SECURITY 等——BUILTIN\Users 可以访问它们。通常您无法访问正在使用的 SAM（或其他注册表配置单元文件）。为了解决这个问题，我使用 CreateFile 来访问 VSC 快照的设备路径——在恢复情况下使用——以一种稍微有点古怪的方式：运行时，它会在工作文件夹中创建 SAM、SECURITY 和 SYSTEM 文件的副本，可供访问已登录的非管理员用户。这是一个关于如何使用我的漏洞在端点上以 SYSTEM 身份远程执行代码的视频：

微软在他们的安全指南中提供了缓解措施：安全更新指南——加载——微软这是一个 PowerShell 脚本，可以通过 SCCM 部署，以修复 ACL 并删除 VSC：您的 EDR 工具应该具有查找 SAM 文件的逻辑访问，值得向您的 EDR 供应商询问确认和检测名称。过去 3 年的所有 Windows 10 版本。 US-CERT 将问题从 2018 年开始。微软的 MSRC 公告称自 1809 年以来的所有 Windows 10 版本。值得注意的一件事，当你执行某些操作时，它会创建一个系统恢复点（例如，在我的游戏中安装 7-zip PC）这似乎是一个因素。与所有安全事务一样，不要惊慌。这只是另一个漏洞。还有一个出色的未打补丁的 Print Spooler 零日。我的看法 - 要求您的 EDR 供应商进行检测、冷静并继续抗争。

此外，是的，微软确实需要考虑在 MSRC 和 Windows 操作系统工程方面的资源。微软不能一边看着自己的产品烧毁，一边吹嘘自己是一家价值 100 亿美元的安全公司。我的意思是，他们可以——但他们不应该。