Windowsに特権昇格の新たなゼロデイ脆弱性、原因はレジストリハイブファイルのアクセス権 16
ストーリー by headless
発見 部門より
発見 部門より
Windows で新たに見つかった特権昇格のゼロデイ脆弱性について、Microsoft が回避策を紹介している(CVE-2021-36934、 CERT: VU#506989、 DoublePulsar のブログ記事、 BetaNews の記事)。
この脆弱性は SAM や SYSTEM などのレジストリハイブファイルに対し、読み取りと実行のアクセス権 (RX) が BUILTIN\Users などの本来付与すべきでないユーザーに付与されていることが原因だ。影響を受けるシステムはWindows 10 バージョン1809以降で、Windows 11 Insider Previewも影響を受ける。
起動中の Windows のレジストリハイブファイルはロックされているため権限があっても読み取ることはできないが、ボリュームシャドウコピーが有効であれば標準ユーザーの権限で読み取り可能となる。SAM には認証関連の情報が含まれるため、攻撃者が悪用すれば SYSTEM の権限で任意コード実行が可能だ。脆弱性は HiveNightmare や SeriousSAM などとも呼ばれ、PoC も公開されている。
回避策としては %windir%\system32\config 内のすべてのファイルのアクセス権を修正し、システムの復元ポイントをすべて削除するというものだ。復元ポイントは必要に応じて作り直せばいい。
この脆弱性は SAM や SYSTEM などのレジストリハイブファイルに対し、読み取りと実行のアクセス権 (RX) が BUILTIN\Users などの本来付与すべきでないユーザーに付与されていることが原因だ。影響を受けるシステムはWindows 10 バージョン1809以降で、Windows 11 Insider Previewも影響を受ける。
起動中の Windows のレジストリハイブファイルはロックされているため権限があっても読み取ることはできないが、ボリュームシャドウコピーが有効であれば標準ユーザーの権限で読み取り可能となる。SAM には認証関連の情報が含まれるため、攻撃者が悪用すれば SYSTEM の権限で任意コード実行が可能だ。脆弱性は HiveNightmare や SeriousSAM などとも呼ばれ、PoC も公開されている。
回避策としては %windir%\system32\config 内のすべてのファイルのアクセス権を修正し、システムの復元ポイントをすべて削除するというものだ。復元ポイントは必要に応じて作り直せばいい。
Windows10 1809 何をした? (スコア:1)
SAMってパスワードハッシュが書いてあるファイルじゃないですか。なんでこんなことしたんだろう?逆に権限を削ると何が動かなくなるんだろう?
Re: (スコア:0)
Linuxでいうと/etc/shadowがworld readableでしたって脆弱性だよね
最悪自分とこはそれで対応するとしても (スコア:0)
お客さんにそんなこと頼みようがねーよ・・・
まず話も伝わらないだろうし・・・
Re: (スコア:0)
ファイルのアクセス権がおかしいなんて事例は今までも数限りなくあったと思うが…
しかも脆弱性の内容としては簡単な部類だと思うが、これまでは説明どうしてたんだ?
他の脆弱性も一から説明してたわけじゃ無かろう?
Re: (スコア:0)
システムの復元ポイントをすべて削除させてくれなんて、今までにない過激な対応では?
Re: (スコア:0)
運用上、システムの復元にそんなに頼ってるの?
10じゃデフォルトで無効化されてなかったっけ。
Re: (スコア:0)
なにかといえば焼畑擁護
Re: (スコア:0)
デフォルトで有効だよ。
素人が使うWindowsマシンで復元が無効化だと、変なことされたら救えないだろ……。
Re: (スコア:0)
デフォルトで有効だよ。
どこがだ?
https://www.google.com/search?q=%E3%82%B7%E3%82%B9%E3%83%86%E3%83%A0%E... [google.com]
変なことされたら救えないだろ
リフレッシュ/リセット機能使うだけだろ
Re: (スコア:0)
リモート接続させてもらうわけにはいかないんですか?
もしくはバッチファイルを送って管理者権限で実行してもらうとか。
下手の考え休むに似たりかな?(^^;
この脆弱性、結構容易に悪用できるかなり危険なもののように思えます。
システム管理者さんとしては頭が痛いところでしょう。
Re: (スコア:0)
レジストリのファイルって、ファイルそのものにアクセス権が設定されている以外にも、レジストリ内の項目毎にアクセス権が設定されていて、通常は自分にアクセス権がある項目しかエクスポートできないし、自分にアクセス権のある項目しか作れない。
まあ、ファイルレベルで入手してしまえば、設定されているアクセス権を無視して内容を参照することも可能だから、危険であることには変わらない。Linuxでいうと/etc/shadowがあるパーティションをダンプ出力して、ディスクイメージから/etc/shadowを読みだすようなものでもある。
Re: (スコア:0)
Microsoftがレジストリクリーナーを禁止する理由は、レジストリ内の項目毎にアクセス権が設定されているためにすべての項目がダンプ出力できるわけではなく、そのうえ現在の権限で読める項目だけで最適化しようとするから、レジストリの内容の整合性を破壊するからである。
ネーミング (スコア:0)
> 脆弱性は HiveNightmare や SeriousSAM などとも呼ばれ
こういうネーミングって誰がするんだろ。
ネットで大喜利でもやって決めるのかな。
Re:ネーミング (スコア:2)
>SeriousSAM
これにはサム・シリアス・ストーンも苦笑い
Re: (スコア:0)
暇人と研究者とセキュリティ業者が好き勝手に決めて人気が出た奴がデファクトスタンダード化する。
大喜利と言うのは遠からずですな。
ハイブなんて言われると (スコア:0)
劇場版のバイオハザードしか思い浮かばない