พบช่องโหว่ใหม่ที่สามารถยกระดับสิทธิ์ user ทั่วไป เป็นสิทธิ admin บน windows 10 และ 11

เมื่อวันที 20 กรกฎาคมที่ผ่านมา ได้พบช่องโหว่ใหม่ของ Microsoft ที่มีชื่อเรียกว่า “SeriousSAM หรือ HiveNightmare”

CVE-2021-36934 Windows Elevation of Privilege Vulnerability มีระดับความรุนแรง CVSS Score: 7.8 เป็นช่องโหว่ในการยกระดับสิทธิ์ ที่เกิดจากรายการควบคุมการเข้าถึง ACL (Access Control Lists) ที่อนุญาตให้มีสิทธิ์เข้าถึงไฟล์ในระบบมากเกินไป และยังสามารถเข้าถึงฐานข้อมูล Security Accounts Manager (SAM) ซึ่งเป็นไฟล์สำหรับเก็บข้อมูล user และ password ของผู้ใช้อีกด้วย

หากผู้โจมตีสามารถเข้าถึงจะสามารถใช้ประโยชน์จากช่องโหว่นี้ในการยกระดับสิทธิเป็น SYSTEM ได้และจะสามารถติดตั้งโปรแกรม ดูการตั้งค่าต่าง ๆ ลบหรือแก้ไขข้อมูล รวมถึงการสร้างบัญชีใหม่ที่มีสิทธิ์ผู้ใช้แบบเต็มรูปแบบ

นักวิจัยด้านความปลอดภัย Jonas Lykkegard ได้กล่าวว่า เขาค้นพบไฟล์ Registry Windows 10 และ 11 นั้น มีความเชื่อมโยงกับ Security Account Manager (SAM) และฐานข้อมูล Registry อื่น ๆ ทำให้สามารถเข้าถึงได้โดย Users ทั่วไป นอกจากนี้ผู้โจมตียังสามารถดึง NTLM (NT LAN Manager) Hash Password ของทุกบัญชีในอุปกรณ์และใช้ hash เหล่านี้ในการโจมตีแบบ pass-the-hash เพื่อยกระดับสิทธิ์ได้อีกด้วย และนักวิจัยยังได้กล่าวอีกว่า "เนื่องจากไฟล์ Registry เช่น SAM ถูกใช้โดยระบบ เมื่อลองพยายามเข้าถึงไฟล์ดังกล่าว จะได้รับการแจ้งเตือนว่ากำลังละเมิดการเข้าถึงไฟล์ เนื่องจากไฟล์ถูกเปิดและใช้งานจากโปรแกรมอื่น"

อย่างไรก็ตาม ผู้โจมตีจะสามารถเข้าถึงไฟล์ Registry รวมถึง SAM โดยผ่าน Windows shadow volume copies จะไม่มีการแจ้งเตือนการละเมิดในการเข้าถึงใด ๆ

วิธีการแก้ปัญหาเบื้องต้น
จำกัดการเข้าถึงของ %windir%\system32\config:

1. Open Command Prompt or Windows PowerShell as an administrator.