微软 Win10 Win11 新威胁：RID 劫持可提权至管理员控制你的 PC

1 月 25 日消息，科技媒体 bleepingcomputer 昨日（1 月 24 日）发布博文，报道称黑客组织 Andariel 利用 RID 劫持技术，欺骗 Windows 10、Windows 11 系统，将低权限账户视为管理员权限账户。Eln28资讯网——每日最新资讯28at.com

注：RID 全称为 Relative Identifier，直译过来为相对标识符，隶属于 Windows 系统中安全标识符（SID），而 SID 是分配给每个用户账户的唯一标识符。Eln28资讯网——每日最新资讯28at.com

RID 的值指示账户的访问级别，例如管理员为“500”，来宾账户为“501”，普通用户为“1000”，域管理员组为“512”。Eln28资讯网——每日最新资讯28at.com

所谓的 RID 劫持，就是攻击者修改低权限账户的 RID，让其匹配管理员账户的 RID 值，Windows 系统就会授予其提升的访问权限。不过执行此攻击需要访问 SAM 注册表，因此黑客需要首先入侵系统并获得 SYSTEM 权限。Eln28资讯网——每日最新资讯28at.com

Eln28资讯网——每日最新资讯28at.com

博文详细介绍了 Andariel 的攻击流程如下：Eln28资讯网——每日最新资讯28at.com

Andariel 利用漏洞，获得目标系统上的 SYSTEM 权限。Eln28资讯网——每日最新资讯28at.com

他们使用 PsExec 和 JuicyPotato 等工具启动 SYSTEM 级别的命令提示符，实现初始权限提升。Eln28资讯网——每日最新资讯28at.com

虽然 SYSTEM 权限是 Windows 上的最高权限，但它不允许远程访问，无法与 GUI 应用程序交互，容易被检测到，并且无法在系统重启后保持。为了解决这些问题，Andariel 首先使用“net user”命令并在末尾添加“'”字符来创建一个隐藏的低权限本地用户。Eln28资讯网——每日最新资讯28at.com

这样，攻击者确保该账户无法通过“net user”命令看到，只能在 SAM 注册表中识别。然后，他们执行 RID 劫持以将权限提升至管理员级别。Eln28资讯网——每日最新资讯28at.com

Andariel 将他们的账户添加到远程桌面用户和管理员组。Eln28资讯网——每日最新资讯28at.com

通过修改安全账户管理器（SAM）注册表可以实现所需的 RID 劫持。黑客使用定制的恶意软件和开源工具来执行这些更改。Eln28资讯网——每日最新资讯28at.com

虽然 SYSTEM 权限允许直接创建管理员账户，但根据安全设置的不同，可能会有一些限制。提升普通账户的权限更加隐蔽，更难被检测和阻止。Eln28资讯网——每日最新资讯28at.com

Andariel 试图通过导出修改后的注册表设置、删除密钥和恶意账户，然后从保存的备份中重新注册来掩盖其踪迹，从而在不出现在系统日志的情况下重新激活。Eln28资讯网——每日最新资讯28at.com

Eln28资讯网——每日最新资讯28at.com

Eln28资讯网——每日最新资讯28at.com

为了降低 RID 劫持攻击的风险，系统管理员应该使用本地安全机构（LSA）子系统服务来检查登录尝试和密码更改，并防止对 SAM 注册表的未经授权的访问和更改。还建议限制 PsExec、JuicyPotato 和类似工具的执行，禁用 Guest 账户，并使用多因素身份验证保护所有现有账户。Eln28资讯网——每日最新资讯28at.com

本文链接：http://www.28at.com/showinfo-119-127554-0.html微软 Win10 Win11 新威胁：RID 劫持可提权至管理员控制你的 PC

声明：本网页内容旨在传播知识，若有侵权等问题请及时与本网联系，我们将在第一时间删除处理。邮件：2376512515@qq.com

上一篇： 英特尔发布 101.6460 Beta 显卡驱动，优化《最终幻想 VII 重生》游戏性能

下一篇： 倒计时 90 天，微软 4 月 18 日下线 WSUS 驱动同步服务