如何缓解微软Windows 10和Windows 11的SeriousSAM漏洞

如何缓解Microsoft Windows 10,11名Signsam漏洞

微软Windows 10 和 Windows 11 用户面临着最近公开披露的未修补的新漏洞的风险。

正如我们上周报道的那样,该漏洞 — SeriousSAM — 允许具有低级别权限的攻击者访问 Windows 系统文件,以执行 Pass-the-Hash(以及可能的 Silver Ticket)攻击。

攻击者可以利用此漏洞获取存储在安全帐户管理器(SAM)和注册表中的散列密码,并最终以系统权限运行任意代码。

SeriousSAM 漏洞(编号为CVE-2021-36934)存在于 Windows 10 和 Windows 11 的默认配置中,特别是由于设置允许对包含所有本地用户的内置用户组具有“读取”权限。

因此,内置本地用户有权读取 SAM 文件和注册表,他们还可以在其中查看哈希值。一旦攻击者拥有“用户”访问权限,他们就可以使用 Mimikatz 等工具访问注册表或 SAM,窃取哈希值并将其转换为密码。以这种方式入侵域用户将使攻击者在网络上获得更高的权限。

由于 Microsoft 尚未提供官方补丁,因此保护您的环境免受 SeriousSAM 漏洞影响的最佳方法是实施加固措施。

缓解SeriousSAM

根据 CalCom 首席技术官 Dvir Goren 的说法,有三种可选的强化措施:

  1. 从内置用户组中删除所有用户– 这是一个很好的起点,但如果管理员凭据被盗,则无法保护您。
  2. 限制 SAM 文件和注册表权限– 仅允许管理员访问。同样,这只能解决部分问题,就像攻击者窃取了管理员凭据一样,您仍然容易受到此漏洞的攻击。
  3. 不允许存储用于网络身份验证的密码和凭据– CIS 基准测试中也建议使用此规则。通过实施此规则,将不会在 SAM 或注册表中存储哈希值,从而完全缓解此漏洞。

使用 GPO 进行实施时,请确保启用以下 UI 路径:

Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options\Network access:不允许存储用于网络身份验证的密码和凭据

尽管最后一条建议为 SeriousSAM 提供了一个很好的解决方案,但如果在推送之前没有进行适当的测试,它可能会对您的生产产生负面影响。启用此设置后,使用计划任务并需要在本地存储用户哈希的应用程序将失败。

在不冒风险的情况下缓解SeriousSAM

以下是 Dvir 为在不导致停机的情况下进行缓解而提出的建议:

  1. 设置一个测试环境来模拟您的生产环境。尽可能准确地模拟网络的所有可能依赖项。
  2. 分析此规则对您的测试环境的影响。这样,如果您的应用程序依赖于本地存储的哈希值,您将提前知道并防止生产停机。
  3. 尽可能推动政策。确保新机器也得到强化,并且配置不会随着时间的推移而漂移。

这三项任务很复杂,需要大量资源和内部专业知识。因此,Dvir 的最终建议是将整个强化过程自动化,以节省执行阶段 1、2 和 3 的需要。

以下是您将从强化自动化工具中获得的好处:

  • 自动生成最准确的可能影响分析报告——强化自动化工具“学习”您的生产依赖性并向您报告每个策略规则的潜在影响。
  • 从单一控制点自动对整个生产执行您的策略 – 使用这些工具,您无需进行手动工作,例如使用 GPO。您可以控制并确定您的所有机器都经过加固。
  • 保持合规性状态并实时监控您的机器——强化自动化工具将监控您的合规性状态,提醒和修复任何未经授权的配置更改,从而防止配置漂移。

强化自动化工具将直接从您的网络中学习依赖关系,并自动生成准确的影响分析报告。强化自动化工具还将帮助您协调实施和监控过程。

 

如何缓解微软Windows 10和Windows 11的SeriousSAM漏洞

极牛网精选文章《如何缓解微软Windows 10和Windows 11的SeriousSAM漏洞》文中所述为作者独立观点,不代表极牛网立场。如若转载请注明出处:https://jikenb.com/15541.html

发表评论

登录后才能评论