微软 Win10/Win11 现新威胁:RID 劫持可提权至管理员控制 PC
发布时间:2025-01-25 11:27:37来源:
微软 Win10/Win11 现新威胁:RID 劫持可提权至管理员控制 PC
1 月 25 日消息,据科技媒体 bleepingcomputer 报道,黑客组织 Andariel 利用一种名为 RID 劫持的技术,对 Windows 10 和 Windows 11 系统发起攻击,可将低权限账户提升为管理员权限,从而完全控制用户的个人电脑,这一新型威胁引发了广泛关注。
RID 即相对标识符(Relative Identifier),其值决定了账户的访问级别,比如管理员的 RID 值为 “500”,来宾账户为 “501”,普通用户则为 “1000” 。所谓的 RID 劫持,就是攻击者通过修改低权限账户的 RID,使其与管理员账户的 RID 值一致,这样 Windows 系统就会错误地赋予该账户管理员权限。不过,要执行这一攻击,黑客首先需要入侵系统并获取 SYSTEM 权限,因为执行此操作需要访问 SAM(安全账户管理器)注册表。
Andariel 的攻击流程颇为复杂。首先,他们利用系统漏洞获取目标系统上的 SYSTEM 权限,随后借助 PsExec 和 JuicyPotato 等工具启动 SYSTEM 级别的命令提示符,完成初始权限提升。然而,SYSTEM 权限虽为 Windows 上的最高权限,但存在诸多限制,如无法远程访问、不能与 GUI 应用程序交互、容易被检测到,且系统重启后权限无法保留。
为解决这些问题,Andariel 会使用 “net user” 命令并在末尾添加 “'” 字符,创建一个隐藏的低权限本地用户,该账户无法通过常规 “net user” 命令查看,只能在 SAM 注册表中识别。接着,他们执行 RID 劫持,将该账户权限提升至管理员级别,再把这个账户添加到远程桌面用户和管理员组。整个过程中,黑客通过修改 SAM 注册表实现 RID 劫持,使用定制恶意软件和开源工具完成关键更改。
虽然 SYSTEM 权限理论上可直接创建管理员账户,但因系统安全设置不同,可能存在限制。相比之下,提升普通账户权限更为隐蔽,难以被检测和阻止。Andariel 为掩盖踪迹,还会导出修改后的注册表设置、删除密钥和恶意账户,再从备份中重新注册,以此在不留下系统日志的情况下重新激活恶意操作。
面对这一新型威胁,系统管理员需采取一系列防范措施。可利用本地安全机构(LSA)子系统服务检查登录尝试和密码更改,防止 SAM 注册表被未经授权访问和修改;限制 PsExec、JuicyPotato 等工具的执行;禁用 Guest 账户,并为所有现有账户开启多因素身份验证。
此次 RID 劫持威胁的出现,再次为广大 Windows 10 和 Windows 11 用户敲响了安全警钟。在网络安全形势日益严峻的当下,用户和系统管理员需时刻保持警惕,及时关注微软官方发布的安全补丁,提升系统安全性,避免个人信息和设备遭受黑客攻击。
(责编: admin)
免责声明:本文为转载,非本网原创内容,不代表本网观点。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
