1月 13, 2022

Windows10upgradeがSAMアクセス権を1809から上方に、ユーザーアクセス可能に

Windowswindows10の機能アップデートは、バージョン1809から現在のバージョン21H1までのsamデータベースへのアクセス権を変更し、管理者以外のユーザーがアクセスできるようにしているようです。 原因は、デフォルトで有効になっているボリュームシャドウコピー(シャドウコピー)である可能性があります。 ここにいくつかの初期情報があります–私はまだ現時点ではそれを少し整理しています。

私はちょうどMimikatz開発者Benjamin Delpyによる発見を投稿したセキュリティ研究者Kevin Beaumontからの次のつぶやきを知りました。 Benjamin Delpyは、PrintNightmare print spoolerサービスの新しい攻撃ベクトルを繰り返し指摘しているため、ここ数週間のブログでより頻繁に言及されています。

Windows10アップグレードの変更SAM ACL

Benjamin Delpyは、Windows10から別のWindows10バージョンにアップグレードするときに深刻なセキュリティ上の問題があるように見えることを慎重に示唆しています。 シャドウコピーがシステム保護のために有効になっているかどうかを確認する必要があります(ただし、これはデフォルトで有効になっています)。 ユーザーパスワードも格納されているWindows10のSAMデータベースは、管理者以外がアクセスできるように見えます。

windows10Sam Aclが壊れました

今、人々は上下にテストしています。 以下のツイートは、全体をかなりコンパクトに要約しています。

windows10Sam Aclが壊れました

Jeff McJunkinはWill Dormannでテストしました。 Windows10バージョン1809以降では、samデータベースのAclは、アップグレード後にすべてのユーザーがアクセスできるように設定されています。 ドイツのブログ読者1ST1は、このコメントで上記のつぶやきにリンクされています。 Kevin Beaumontは、Samデータベースのアクセス制御リスト(Acl)がWindows10で正しく設定されていないことを確認します。 標準ユーザーは、おそらくこのSAMデータベースにアクセスできます。 1ST1はこれについて書いています:

次の大きなパイルオン?

https://twitter.com/GossiTheDog/status/1417259606384971776

C:\Windows\System32>c:\windows\system32\config\SAM
c:\windows\system32\config\SAM VORDEFINIERT\Administratoren:(I)(F)
NT AUTHORITY\SYSTEM:(I)(F)
PREDEFINED\User:(I)(RX)
APPLICATION PACKAGE CA\ALL APPLICATION PACKAGES:(I)(RX)
APPLICATION PACKAGE CA\ALL RESTRICTED APPLICATION PACKAGES:(I)(RX)

ユーザーは実際にアクセスできません。 セキュリティにも不正なアクセス許可があります。 1809年(文化21年)1月に死去した。

かつてwindows10 21H1テストシステムでicaclsを実行し、標準ユーザーのコマンドプロンプトウィンドウに表示されるのと同じ値を取得しました。

ウィンドウズ10: Sam Acl

私が完全に誤解していない限り、SAMはRXフラグを介して通常のユーザーのアクセスを読み取り、実行しています。 つまり、すべてのユーザーがユーザーパスワードを使用してSAMデータベースを読み取ることができます。 セキュリティバグは何年もの間、Windows10で休止状態に陥っており、誰も気づいていません。 Beaumontはまた、彼のWindows10 21h1上の問題を追跡することができ、セキュリティフォルダも誤った権限を持っていることを確認しました。

確かに管理者は、標準ユーザがアクセスできなくなるようにAclを迅速に調整する必要があるかどうか疑問に思っています。 この時点で、私は書いているボーモント、からのメモにドロップするつもりです:

ところで、私はパニックにならないだろう、それはそれが何であるかです。 回避策を適用してAclを自分で変更すると、問題が発生する可能性があります。 最終的に、MSはこれにパッチを適用します。

そして、彼は良いEDRツールがSAMダンプ警告を表示するべきであると言って結論づけています。 さらに、MicrosoftはSAMエントリを暗号化します(参照)。 これがどの程度回避できるか、私は判断することができません。

しかし、私はこの時点で疑問に思う:マイクロソフトの開発者に何が間違っているのだろうか。 マーケティングは、Windows10がこれまでで最も安全なWindowsであり、ある災害から次の災害に陥ることを可能にするサービスアプローチとしてのWindowsを賞賛するこ 正面には正面のドアがあり、背面には納屋のドアサイズのセキュリティホールがぽっかりと広がっています。 WaaSが単に失敗したという別の例が必要な場合は、これが必要です。 またはどのようにそれを見ていますか?

補遺:Kevin Beaumontは、このツイートで概説したように、GitHub上でこのHiveNightmareエクスプロイトを作成しました。

クッキーはこのブログに資金を供給するのに役立ちます:クッキーの設定
広告

コメントを残す

メールアドレスが公開されることはありません。