セキュリティ研究者のJonasLikkegaardは、Windowsオペレーティングシステムに脆弱性があり、低レベルのユーザーがローカルコンピューターの管理者権限を取得できることを発見しました。報告によると、この問題はWindows10とWindows11に影響します。
調査の過程で、管理者権限がなくても、Windowsユーザーは、システムの特権レベルを個別に上げるために、レジストリデータベースの機密ファイルにアクセスできることがわかりました。 Windowsレジストリは、オペレーティングシステムの一種の構成リポジトリとして機能し、ハッシュ化されたパスワード、ユーザー設定、アプリケーションの構成設定、復号化キーなどが含まれています。
同時に、レジストリに関連付けられているデータベースファイルは、C:\ Windows \ system32 \ configフォルダーに保存されます。これらは、SYSTEM、SECURITY、SAM、DEFAULT、およびSOFTWAREファイルです。これらのファイルには、Windowsの機能で使用されるすべてのデバイスユーザーアカウントとセキュリティトークンに関する機密情報が含まれているため、通常のユーザーがそれらを表示できないようにする必要があります。これは、システム上のすべてのユーザーのハッシュされたパスワードを格納するため、Security Accounts Manager(SAM)ファイルに特に当てはまります。
Lyckegaardは調査の結果、Windows10とWindows11のSAM関連のレジストリファイル、およびその他のレジストリデータベースを、特権の低いデバイスのユーザーが利用できることを発見しました。つまり、攻撃者は、管理者権限がなくても、デバイス上のすべてのアカウントのハッシュされたNTLMパスワードを抽出し、それらをハッシュパッシング攻撃で使用して特権を昇格させることができます。 SAMのようなファイルは常にシステムによって使用され、それらへのアクセスの試みは拒否されますが、システムはそれらの隠しコピーを作成し、このタイプの攻撃で攻撃者が使用します。
入手可能なデータによると、通常の特権を持つユーザーは、Windows 10(1809)で初めて前述のファイルにアクセスできました。マイクロソフトは問題を確認しており、脆弱性は識別子CVE-2021-36934で追跡されています。開発者は、この脆弱性に関連する潜在的な問題を回避するために、アクセス設定を変更する一時的なオプションも提案しました。 「私たちは状況を調査しており、必要に応じて、顧客を保護するための適切な措置を講じます」とマイクロソフトのスポークスマンはこの問題についてコメントしました。
2021-07-21 19:17:29
著者: Vitalii Babkin