如何缓解微软Windows 10和Windows 11的SeriousSAM漏洞

微软Windows 10 和 Windows 11 用户面临着最近公开披露的未修补的新漏洞的风险。

正如我们上周报道的那样，该漏洞 — SeriousSAM — 允许具有低级别权限的攻击者访问 Windows 系统文件，以执行 Pass-the-Hash（以及可能的 Silver Ticket）攻击。

攻击者可以利用此漏洞获取存储在安全帐户管理器（SAM）和注册表中的散列密码，并最终以系统权限运行任意代码。

SeriousSAM 漏洞（编号为CVE-2021-36934）存在于 Windows 10 和 Windows 11 的默认配置中，特别是由于设置允许对包含所有本地用户的内置用户组具有“读取”权限。

因此，内置本地用户有权读取 SAM 文件和注册表，他们还可以在其中查看哈希值。一旦攻击者拥有“用户”访问权限，他们就可以使用 Mimikatz 等工具访问注册表或 SAM，窃取哈希值并将其转换为密码。以这种方式入侵域用户将使攻击者在网络上获得更高的权限。

由于 Microsoft 尚未提供官方补丁，因此保护您的环境免受 SeriousSAM 漏洞影响的最佳方法是实施加固措施。

缓解SeriousSAM

根据 CalCom 首席技术官 Dvir Goren 的说法，有三种可选的强化措施：

1. 从内置用户组中删除所有用户– 这是一个很好的起点，但如果管理员凭据被盗，则无法保护您。
2. 限制 SAM 文件和注册表权限– 仅允许管理员访问。同样，这只能解决部分问题，就像攻击者窃取了管理员凭据一样，您仍然容易受到此漏洞的攻击。
3. 不允许存储用于网络身份验证的密码和凭据– CIS 基准测试中也建议使用此规则。通过实施此规则，将不会在 SAM 或注册表中存储哈希值，从而完全缓解此漏洞。

使用 GPO 进行实施时，请确保启用以下 UI 路径：

Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options\Network access：不允许存储用于网络身份验证的密码和凭据

尽管最后一条建议为 SeriousSAM 提供了一个很好的解决方案，但如果在推送之前没有进行适当的测试，它可能会对您的生产产生负面影响。启用此设置后，使用计划任务并需要在本地存储用户哈希的应用程序将失败。

在不冒风险的情况下缓解SeriousSAM

以下是 Dvir 为在不导致停机的情况下进行缓解而提出的建议：

1. 设置一个测试环境来模拟您的生产环境。尽可能准确地模拟网络的所有可能依赖项。
2. 分析此规则对您的测试环境的影响。这样，如果您的应用程序依赖于本地存储的哈希值，您将提前知道并防止生产停机。
3. 尽可能推动政策。确保新机器也得到强化，并且配置不会随着时间的推移而漂移。

这三项任务很复杂，需要大量资源和内部专业知识。因此，Dvir 的最终建议是将整个强化过程自动化，以节省执行阶段 1、2 和 3 的需要。

以下是您将从强化自动化工具中获得的好处：

• 自动生成最准确的可能影响分析报告——强化自动化工具“学习”您的生产依赖性并向您报告每个策略规则的潜在影响。
• 从单一控制点自动对整个生产执行您的策略 – 使用这些工具，您无需进行手动工作，例如使用 GPO。您可以控制并确定您的所有机器都经过加固。
• 保持合规性状态并实时监控您的机器——强化自动化工具将监控您的合规性状态，提醒和修复任何未经授权的配置更改，从而防止配置漂移。

强化自动化工具将直接从您的网络中学习依赖关系，并自动生成准确的影响分析报告。强化自动化工具还将帮助您协调实施和监控过程。