Windows 10中的新漏洞允许管理员劫持

• 了解Windows注册表 - 第一部分
• 50个注册表技巧，可以帮助您成为真正的Windows 7 / Vista'Hacker'（第1部分）

Windows注册表用作Windows操作系统的配置存储，并包含Hashed密码，用户自定义，应用程序的配置选项，系统解密键等。

与Windows注册表关联的数据库文件存储在C：WindowsSystem32Config文件夹中，并将其分为不同的文件，例如系统，安全性，Security，SAM，默认和软件。

由于这些文件包含有关Windows功能使用的设备和安全令牌上所有用户帐户的敏感信息，因此没有提升特权的用户将无法访问它们。

对于安全客户经理（SAM），尤其如此，因为它包含系统上所有用户的哈希密码，威胁行为者可以使用该密码来假设其身份。

7月21日，流动计算机引用了安全研究人员乔纳斯·莱克加德（Jonas Lykkegaard）的话说，他发现与SAM关联的Windows 10和Windows 11注册表文件以及所有注册表数据库都可以访问设备上的低私人用户组。

如下所示，这些较低的权限已在完全修补的Windows 10 20H2计算机上证实。

借助低级文件权限，设备上具有有限特权的威胁参与者可以为设备上的所有帐户提取NTLM Hashed密码，并在攻击中使用这些哈希。通过障碍公众获得提高特权。

由于操作系统始终使用注册表文件（例如SAM文件），因此当您尝试访问该文件时，您将获得访问违规错误，因为该文件由另一个程序打开和锁定。

但是，根据Lykkegaard的说法，由于包括SAM在内的注册表文件通常会备份阴影副本，因此您可以通过阴影卷访问文件而不会违反访问权限。

例如，威胁参与者可以使用以下路径来用于阴影音量，从计算机上的任何用户访问SAM文件。

?GLOBALROOTDeviceHarddiskVolumeShadowCopy1WindowsSystem32configSAM

根据安全研究人员本杰明·德尔比（Benjamin Delpy）的说法，您可以轻松地窃取管理员帐户的NTLM哈希广告密码以获得更高的特权。

Delpy表示，除了窃取NTLM哈希斯和特权升级外，这种低特权的访问还可以实现进一步的攻击，例如银票攻击。

尚不清楚为什么微软更改了注册表的权限以允许普通用户读取文件。但是，CERT/CC漏洞分析师Will Dormann和SANS的作者Jeff McJunkin说，Microsoft在Windows 10 1809中引入了这些许可更改。

在今天发布的安全咨询中，微软确认了漏洞，并附加了跟踪代码CVE-2021-36934。

微软说：“我们正在调查，并将采取适当的行动来保护我们的客户。”

你应该阅读

• 在Windows 10/8/7上访问注册表编辑器
• 如何制作和还原Windows注册表的备份
• 如何进入计算机注册表
• 使用.reg文件在WinXP中配置注册表
• 36最佳免费注册表清洁软件2018
• 如何在Windows 10上禁用Windows注册表
• 如何在Windows中导出注册表密钥
• 如何在Windows 10上修复损坏的注册表

可能有兴趣