ИБ-специалист Йонас Ликкегаард нашёл в Windows 10 и Windows 11 уязвимость нулевого дня, которая позволяет пользователю с низкими привилегиями получать доступ к чувствительным файлам в системном реестре. Этот реестр служит в качестве репозитория конфигураций операционной системы, он содержит хэшированные пароли, пользовательские настройки, параметры конфигурации для приложений, ключи дешифрования системы и другие настройки, которые должны быть открыты только пользователю с правами администратора.
Используя эту уязвимость, пользователь с недостаточными правами может извлечь из реестра NTLM-хэши паролей всех других пользователей компьютера, чтобы использовать эти хэши в атаках для получения повышенных привилегий. Ликкегаард выяснил, что для получения доступа к данным в реестре можно использовать теневые тома Windows (например, путь \?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\Windows\System32\config\SAM). Используя некорректные пути к реестру злоумышленник может узнать NTLM-хэши паролей и получить перейти к настройкам, которые доступны пользователям с более высокими привилегиями.
Экспериментальным путём выяснилось, что описанная уязвимость отсутствует при чистой установке Windows 10 версии 20H2 и тестовой сборки Windows 11, но наличествует при обновлении операционной системы с более ранних версий.
Эта уязвимость получила название HiveNightmare. Ей присвоен номер CVE-2021-36934, и сейчас компания Microsoft занимается её устранением. В скором времени для Windows 10 и Windows 11 буде выпущен патч, закрывающий эту «дыру» безопасности.