Microsoft ออก Advisory ช่องโหว่ ‘SeriousSAM’ กระทบ Windows 10 1809 ขึ้นไป

Microsoft ได้ออกคำแนะนำสำหรับช่องโหว่ยกระดับสิทธิ์ที่กระทบกับ Windows ตั้งแต่ 1809 ขึ้นไป โดยปัจจุบันแม้ถูกเปิดเผยในสาธารณะแล้วแต่ยังไม่มีรายงานการโจมตี

CVE-2021-36934 (SeriousSAM หรือ HiveNightmare) เกิดขึ้นเพราะมีบั๊กที่ทำให้ผู้ใช้งานในสิทธิ์ระดับต่ำสามารถเข้าอ่านไฟล์สำคัญได้ ประกอบด้วยไฟล์ SYSTEM, SAM Database และอื่นๆ ภายใต้ C:\Windows\system32\config ซึ่งผู้เชี่ยวชาญชี้ว่าสามารถนำไปสู่การได้รับ NTLM Hash ของบัญชีได้นั่นเอง อย่างไรก็ดีแม้จะยังไม่มีแพตช์ทางการ แต่มีวิธีบรรเทาปัญหา 2 ขั้นคือ

1.) จำกัดการเข้าถึงเนื้อหาใน  %windir%\system32\ ด้วยคำสั่ง ‘icacls %windir%\system32\config\*.* /inheritance:e’

2.) แม้แฮ็กเกอร์จะไม่สามารถเข้าถึงไฟล์ที่กำลังถูกใช้โดย OS ได้แต่อาจเข้าถึง Shadow Volume Copies ได้จึงต้องลบ Volume Shadow Copy ออกไป (พิจารณาให้ดีอาจกระทบกับการกู้คืนข้อมูลและการทำงานของการสำรองข้อมูลด้วยซอฟต์แวร์ 3rd-party)

ทั้งนี้คาดว่า Microsoft คงจะออกแพตช์จริงๆมาให้ในสัปดาห์หน้า 

ที่มา :  https://www.bleepingcomputer.com/news/microsoft/microsoft-shares-workaround-for-windows-10-serioussam-vulnerability/ และ https://redmondmag.com/articles/2021/07/21/serioussam-windows-flaw.aspx