关于我们

无论是开源还是闭源，没有绝对安全的操作体系。

一夕间，多款操作体系被爆存在安全缝隙，其间包含开发者最为常用的 Windows 和 Linux 操作体系也未能幸免。有研究人员发现，通过缝隙，黑客或歹意软件可绕过 Windows 和 Linux 体系的安全约束，并取得管理员级别的权限，形成设备内部的敏感/隐私资源走漏。



Windows 被“攻破” ？

事情要从 7 月 20 日一位名为 Jonas Lykkegaard 发布的一则 Twitter 说起，其在帖子中指出，“因为某种原因，在 Windows 11 上，用户现在能够读取 SAM 文件。因而，假如你启用了 shadowvolumes，就能够像这样读取 SAM 文件了。”



在 Windows 体系中，所谓 SAM 文件指的是账号暗码数据库文件。当用户登陆体系时，体系会主动地和 Config 中的 SAM 主动校正，假如登录的用户名和暗码与 SAM 文件中加密的数据一致，那么会成功登录，不然登陆失利。

因而假如除了管理员之外的任何人有权限拜访到 SAM 文件，相当于他们能够提取到加密的暗码数据，这也意味着别人已经掌握了进入自家大门的一把钥匙，能够来去自如，乃至能够在易受进犯的计算机设备上创立一个全新的帐户。与此一起，非管理员用户也能够直接将自己的权限提升到 Windows 中的最高级别 System。但是，不仅是在全新的 Windows 11 预览版中，有网友发现，在 Windows 10 最新版别里边也发现了相同的问题。

在这一缝隙披露之后，引发不少研究人员的重视，其间@Benjamin Delpy 还进行了一波演示验证证明了该缝隙的存在：



在深入研究该缝隙出现的原因时，美国电脑紧迫应变小组（US Computer Emergency Readiness Team）表明，从 Windows 10 build 1809 版别开始，非管理用户被颁发拜访 SAM、 SYSTEM 和 SECURITY 注册表装备单元文件的权限，而因为这一错误，本地用户的体系权限被提升。一起，该缝隙存在于 Volume Shadow 复制服务中，该服务运转操作体系或应用程序在不确定文件体系的情况下让录制整个磁盘的“时间点快照”的 Windows 功用被打开。

这一装备错误直接导致 Windows 在体系驱动器的卷影副本（VSS）可用的情况下，非管理员用户可直接读取 SAM 这些数据库，一起，更方便黑客：

提取和使用账户的哈希暗码；

发现原始的 Windows 装置暗码；

获取 DPAP 计算机暗码，可用于解密一切计算机私钥；

取得一个电脑机器账号，能够用来进行白银票据（silver ticket）进犯。



简单来看，“通过本地身份验证的进犯者或许能够实现本地权限提升、伪装成其他用户或实现其他与安全相关的影响。” 这可用于凭借歹意软件彻底感染体系、窥视其他用户等。

或许许多用户会认为自己的计算机是安全的，但 US Computer Emergency Readiness Team 公告指出，“在某些装备中，VSS 卷影副本或许不能用，可是，只需拥有一个大于 128GB 的体系驱动器，然后执行 Windows 更新或装置 MSl 即可让 VSS 卷影副本主动创立。”

当然假如你想查看一下自己的体系是否有可用的 VSS 卷影副本，能够使用一下指令：

vssadmin list shadows
与此一起，微软也证明了这一缝隙的存在，该缝隙的 ID 为 CVE-2021-36934，微软对该安全缝隙的使用评价是“有或许被使用”，并表明（https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36934）：

因为对多个体系文件（包含安全帐户管理器 (SAM) 数据库）的拜访操控列表 (ACL) 过于宽松，因而存在特权提升缝隙。成功使用此缝隙的进犯者能够使用 SYSTEM 权限运转任意代码。然后进犯者能够装置程序；查看、更改或删去数据；或创立具有完全用户权限的新帐户。

微软称当时正在调查受影响的 Windows 版别并致力于修正，在正式的解决方案/补丁尚未发布之前，其也提出了两种临时的方法：

一种是约束对 %windir%\system32\config 内容的拜访。易受进犯的体系能够为 %windir%\system32\config 目录中的文件启用 ACL 承继，能够用管理员身份运转以下指令提示符：

icacls %windir%\system32\config\*.* /inheritance:e
一旦针对这些文件更正了 ACL，就必须删去体系驱动器的任何 VSS 卷影副本，以保护体系免受进犯。这能够通过以下指令完成，假设你的体系驱动器是“c:”:

vssadmin delete shadows /for=c: /Quiet
通过再次运转 vssadmin list shadows 承认 VSS 卷影副本已被删去。请注意，依靠现有卷影副本的任何功用（例如体系还原）都不会按预期运转。新创立的卷影副本将包含正确的 ACL，将按预期运转。

另外一种是删去卷影复制服务 (VSS) 卷影副本。

更多操作细节可参阅：https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36934



Linux 也未能幸免

无独有偶，除了 Windows 被爆有缝隙外，研究人员还在 Linux 内核文件体系中发现了一个 size_t-to-int 类型转化安全缝隙——CVE-2021-33909，任何非管理员用户都能够在易受进犯的设备上取得 root 级权限。

发现该缝隙的安全公司 Qualys 团队研究人员将其称为 Sequoia，并表明“该缝隙存在于 Ubuntu 20.04、Ubuntu 20.10、Ubuntu 21.04、Debian 11 和 Fedora 34 Workstation 的默认装置中。其他 Linux 发行版或许简单遭到进犯而且或许被使用。” 



据悉，2014 年今后的一切 Linux 内核版别都存在这一缝隙，Qualys 指出要想完全修正此缝隙，必须要修补内核，此外，其也供给了一些缓解办法（https://blog.qualys.com/vulnerabilities-threat-research/2021/07/20/sequoia-a-local-privilege-escalation-vulnerability-in-linuxs-filesystem-layer-cve-2021-33909）：

将 /proc/sys/kernel/unprivileged_userns_clone 设置为 0，以避免进犯者在用户命名空间中挂载长目录。可是，进犯者或许会通过 FUSE 挂载一个长目录，现在不排除有这种可行性，假如进犯者 FUSE-mount 一个长目录（超过 8MB），那么 systemd 会耗尽其仓库，从而导致整个操作溃散体系。

将 /proc/sys/kernel/unprivileged_bpf_disabled 设置为 1，以避免进犯者将 eBPF 程序加载到内核中。但是，进犯者或许会损坏其他 vmalloc() 化的目标（例如，线程仓库）。

关于普通用户而言，在等候官方的更新补丁之前，也牢记不要下载或点击装置自己所不熟悉的软件，避免歹意软件形成信息走漏。与此一起，也需重视及查看设备是否有最新的更新，保证及时装置减少缝隙带来的影响。