微软发布 Windows 10 解决“SeriousSAM”错误的方法

Windows 10 中的权限提升错误将所有系统都开放给攻击者以访问数据并在系统上创建新帐户。

微软周三修复了一个影响 Windows 10 版本的权限提升错误，以防止攻击者访问数据并在受感染的系统上创建新帐户。

这个被称为 SeriousSAM 的漏洞会影响所有版本的 Windows 10 中的安全帐户管理器 (SAM) 数据库。 Windows 中的 SAM 组件包含用户帐户凭据和网络域信息——这是攻击者的一个重要目标。滥用该漏洞的先决条件是攻击者需要远程或本地访问易受攻击的 Windows 10 系统。

跟踪为 CVE-2021-36934 的微软表示，该漏洞的存在是因为对多个系统文件（包括（SAM）数据库）的访问控制列表过于宽松。“成功利用此漏洞的攻击者可以使用 SYSTEM 权限运行任意代码。然后攻击者可以安装程序；查看、更改或删除数据；或创建具有完全用户权限的新帐户，”微软公告解释说。
简单地说，攻击者可以利用该漏洞访问散列凭据的 SAM 数据库，然后可以脱机解密并用于绕过 Windows 10 用户访问控制。

概念验证可用

该错误被微软评为重要的严重性。研究人员 Jonas Lyk 在周末向微软披露了该漏洞，并于周一公布。研究人员 Kevin Beaumont 发布了概念验证代码，以帮助网络管理员识别漏洞。

在 Lyk 的一条推文中，研究人员表示，该漏洞还会影响 Windows 11 的预生产版本（计划于 2021 年 10 月发布）。“出于某种原因，在 win11 上，用户现在可以读取 SAM 文件。因此，如果您启用了 shadowvolumes，您就可以读取 sam 文件，”他在推特上写道。

研究人员表示，该漏洞是在修补 Windows 11 时发现的。他解释说，SAM 数据库内容虽然无法在操作系统上访问，但可以在 Windows 卷影复制 (VSS) 备份的一部分时访问。VSS 是一项服务，允许自动或手动实时备份与特定驱动器号（卷）相关的系统文件（保留在当前状态）。

他后来发现，可追溯到 2018 年 (v1809) 的 Windows 10 系统上也存在同样的问题。

没有可用的补丁：建议的解决方法修复

为此，Microsoft 建议系统管理员删除 VSS 文件的备份副本。操作系统制造商不提供该错误的补丁，而是一个简单的解决方法。

微软将两步过程解释为：“删除限制访问 %windir%\system32\config 之前存在的任何系统还原点和影子卷”和“创建新的系统还原点（如果需要）。”

它还警告说，删除 VSS 卷影副本“可能会影响还原操作，包括使用第三方备份应用程序还原数据的能力。”

作者：海拥

原文：点击这里