新的 Windows 11 和 10 漏洞可让任何人接管您的 PC – 该怎么做

最近版本的 Windows 10 和 Windows 11 存在一个非常严重的新缺陷,可以让任何没有管理密码的本地用户(包括通过其他方式安装的恶意软件)完全控制 PC。 Microsoft 尚未提供修复程序。

安全研究人员报告说,此漏洞源于 Windows 10 最新版本的明显变化,即使是非特权用户也可以读取 Windows 注册表中的安全帐户管理器 (SAM)、系统和安全文件 Jonas Lykkegaard 在 Twitter 上 昨天(7 月 19 日)。

Windows 打印缺陷仍然可以入侵您的 PC-这是该怎么做最好的防病毒软件加: 大量 RTX 30 系列股票今天冲击百思买——如何获得你的股票

查看更多

就在几个小时前的今天(7 月 20 日),匹兹堡卡内基梅隆大学 CERT 协调中心 (CERT-CC) 的 Will Dormann 发布了一份 安全咨询 关于这个缺陷。

Dormann 认为这个漏洞是在 Windows 10 build 1809 中引入的,但在某些情况下,你安装或升级 Windows 的方式似乎决定了你的机器是否容易受到攻击。

查看更多

那么这个 Windows 缺陷是怎么回事呢?

Windows 注册表中的 SAM 文件包含给定 Windows 系统上所有用户密码的“散列”版本,包括管理用户的密码。

“散列”密码意味着通过一种不能(理论上)逆转的单向加密算法来运行它们。 例如,“密码”的哈希值,使用微软自己的 NTLM 算法,是“8846F7EAEE8FB117AD06BDD830B7586C”。

问题是 NTLM 算法非常弱,散列通常可以被“破解”或反转以提供原始密码。

更糟糕的是,一些与 Windows 相关的功能,例如访问联网服务器,让您使用 NTLM 哈希而不是密码本身登录。 因此,当 Windows 系统上的任何软件或任何用户突然看到所有其他用户密码的 NTLM 哈希值时,这并不好。

任何用户在计算机运行时访问 SAM 文件都不容易。 但是 Lykkegaard 发现,即使是非特权用户,他也可以访问大多数 Windows 系统创建的“卷影副本”中的 SAM 文件的备份版本。

卷影副本是隐藏在主驱动器上的 Windows 系统最重要文件的备份。 您的 PC 每次安装系统更新或升级时都会创建一个卷影副本。 对于大多数 PC 来说,这意味着每个月都有一个新的卷影副本。

卷影副本并不总是那么隐藏。 即使它使用唯一的文件名,它也是位于可预测位置的可预测文件名。

因此,通过网络钓鱼电子邮件、盗版软件或恶意 Web 链接进入 PC 的狡猾恶意软件将能够在卷影副本中找到 SAM 文件,读取用户密码哈希值,并且可能有相当的机会破解哈希值或使用它们登录远程服务器。

即使是最好的 Windows 10 防病毒软件也可能无法阻止所有此类攻击。

如何检查您的 PC 是否易受攻击

您可以通过检查两件事来查看您的 PC 是否容易受到此缺陷的影响。

首先,启动 Windows 命令提示符(在屏幕底部的搜索栏中键入“cmd”),键入以下内容,然后按 Enter:

icacls c:windowssystem32configsam

如果您收到包含此行的响应:

BUILTINUsers:(I)(RX)

… 那么这意味着非特权用户可以读取 SAM 文件,您的系统可能容易受到攻击。

如果是这样,那么您需要检查是否存在卷影副本。 为此,您需要以管理员身份使用命令提示符。

如果您还不是管理员,请再次在搜索栏中键入“cmd”,然后右键单击“命令提示符”并选择“以管理员身份运行”,并在出现提示时输入您的 Windows 密码或 PC PIN。

命令提示符窗口打开后,输入以下内容并按 Enter 键:

vssadmin list shadows

你可能会得到一个完整的报告,看起来像这样。 如果是这样,那么您有卷影副本:

Contents of shadow copy set ID: {d9e0503a-bafa-4255-bfc5-b781cb27737e}
   Contained 1 shadow copies at creation time: 7/19/2021 9:30:13 AM
      Shadow Copy ID: {5b5d02a8-44e9-420e-9ec9-a585cd991ed8}
         Original Volume: (C:)\?Volume{b7f4115b-4242-4e13-84c0-869524965718}
         Shadow Copy Volume: \?GLOBALROOTDeviceHarddiskVolumeShadowCopy2
         Originating Machine: DESKTOP-CHOLLIMA
         Service Machine: DESKTOP-CHOLLIMA
         Provider: 'Microsoft Software Shadow Copy provider 1.0'
         Type: ClientAccessibleWriters
         Attributes: Persistent, Client-accessible, No auto release, Differential, Auto recovered

如果不这样做,您可能会得到以下结果:

No items found that satisfy the query.

如果普通用户可以读取 SAM 文件并且存在卷影副本,那么您的 Windows 系统很容易受到攻击。

所以我很脆弱。 怎么办?

CERT-CC 的 Dormann 建议采取以下步骤来规避使用此漏洞进行攻击的风险。 请注意,此解决方法将删除现有的卷影副本,因此您的计算机将暂时没有还原点。

1. 启动管理命令行窗口,如上。 (Windows PowerShell 也可以工作。)

2. 通过键入以下命令并在每个命令后按 Enter 来阻止“用户”访问敏感的注册表文件:

icacls %windir%system32configsam /remove "Users"
icacls %windir%system32configsecurity /remove "Users"
icacls %windir%system32configsystem /remove "Users"

3. 删除每个驱动器上的现有卷影副本。 对于 C: 驱动器,在命令行中输入以下内容并按 Enter:

vssadmin delete shadows /for=c: /Quiet

4. 继续使用您可能拥有的其他驱动器,例如 D:、E: 等。

5. 通过再次输入并按 Enter 来检查所有卷影副本是否已被删除:

vssadmin list shadows

你应该得到这个作为回应:

No items found that satisfy the query.

6. 重新启动您的机器。

7. 通过在搜索栏中键入“创建”,选择“创建还原点”并在出现的弹出窗口中单击“创建”按钮来创建新的还原点。

当今最好的卡巴斯基全面安全交易930 条亚马逊客户评论☆☆☆☆☆卡巴斯基全面安全 2018…亚马逊49.99 美元卡巴斯基全面安全 2020…亚马逊69.35 美元卡巴斯基全面安全 2021…亚马逊149.99 美元减价卡巴斯基全面安全 2021…亚马逊89.99 美元44.99 美元我们每天检查超过 2.5 亿件产品以获得最优惠的价格

相关阅读:

Posted in: 隐私安全