安全研究人员在最新版本的微软 Windows电脑系统中发现了一个漏洞，如果成功利用该漏洞，攻击者可以使用系统特权运行代码。

　　某些系统文件(包括安全帐户管理器 (SAM) 数据库)上过于宽松的访问控制列表 (ACL) 会导致此问题。

　　一篇关于 CERT 的文章提供了更多信息。根据它，BUILTIN/Users 组被授予对 %windir%\system32\config 中文件的 RX 权限(读取执行)。

　　如果系统驱动器上存在卷影副本 (VSS)，非特权用户可能会利用该漏洞进行攻击，包括运行程序、删除数据、创建新帐户、提取帐户密码哈希、获取 DPAPI 计算机密钥等。

　　根据CERT 的说法，当安装了 Windows 更新或 MSI 文件时，会在具有 128 GB 或更多存储空间的系统驱动器上自动创建 VSS 卷影副本。

　　管理员可以从提升的命令提示符运行 vssadmin list shadows 以检查卷影副本是否可用。

　　微软在CVE-2021-36934 中承认了这个问题，将该漏洞的严重性评为重要，是第二高的严重性评级，并确认 Windows 10 版本 1809、1909、2004、20H2 和 21H1、windows11 和 Windows Server 安装是受漏洞影响。

　　一、测试您的系统是否可能受到 HiveNightmare 的影响

　　1. 使用键盘快捷键 Windows-X 在机器上显示“秘密”菜单。

　　2. 选择 Windows PowerShell(管理员)。

　　3. 运行以下命令： if ((get-acl C:\windows\system32\config\sam).Access | ? IdentityReference -match 'BUILTIN\\Users' | select -expandproperty filesystemrights | select-string 'Read'){write -host "SAM 可能是 VULN" }else { write-host "SAM NOT vuln"}

　　如果返回“Sam may VULN”，则系统受漏洞影响(来自 Twitter 用户Dray Agha)

　　这是检查系统是否容易受到潜在攻击的第二个选项：

　　1. 选择开始。

　　2. 输入 cmd

　　3. 选择命令提示符。

　　4. 运行 icacls %windir%\system32\config\sam

　　易受攻击的系统在输出中包含 BUILTIN\Users:(I)(RX) 行。非易受攻击的系统将显示“访问被拒绝”消息。

　　二、HiveNightmare 安全问题的解决方法

　　微软在其网站上发布了一个解决方法，以保护设备免受潜在攻击。

　　根据微软的说法，管理员可以为 %windir%\system32\config 中的文件启用 ACL 继承。

　　1. 选择开始

　　2. 键入 cmd。

　　3. 选择以管理员身份运行。

　　4. 确认 UAC 提示。

　　5. 运行 icacls %windir%\system32\config\*.* /inheritance:e

　　6. vssadmin 删除阴影 /for=c: /Quiet

　　7. vssadmin 列表阴影

　　命令 5 启用 ACL 继承。命令 6 删除存在的卷影副本，命令 7 验证是否已删除所有卷影副本。