捷维科技 1 月 25 日消息,科技媒体 bleepingcomputer 昨日(1 月 24 日)发布博文,报道称黑客组织 Andariel 利用 RID 劫持技术,欺骗 Windows 10、Windows 11 系统,将低权限账户视为管理员权限账户。
捷维科技注:RID 全称为 Relative Identifier,直译过来为相对标识符,隶属于 Windows 系统中安全标识符(SID),而 SID 是分配给每个用户账户的唯一标识符。
RID 的值指示账户的访问级别,例如管理员为“500”,来宾账户为“501”,普通用户为“1000”,域管理员组为“512”。
所谓的 RID 劫持,就是攻击者修改低权限账户的 RID,让其匹配管理员账户的 RID 值,Windows 系统就会授予其提升的访问权限。不过执行此攻击需要访问 SAM 注册表,因此黑客需要首先入侵系统并获得 SYSTEM 权限。
为了降低 RID 劫持攻击的风险,系统管理员应该使用本地安全机构(LSA)子系统服务来检查登录尝试和密码更改,并防止对 SAM 注册表的未经授权的访问和更改。还建议限制 PsExec、JuicyPotato 和类似工具的执行,禁用 Guest 账户,并使用多因素身份验证保护所有现有账户。
微信扫一扫打赏
支付宝扫一扫打赏