Ratkaisu Windows 10 ja 11 HiveNightmare Windows Elevation of Privilege -haavoittuvuuteen

Kokeile Instrumenttia Ongelmien Poistamiseksi

Aiemmin tällä viikolla tietoturvatutkijat löysivät Microsoftin Windows -käyttöjärjestelmän uusimmista versioista haavoittuvuuden, jonka avulla hyökkääjät voivat käyttää koodia järjestelmän oikeuksilla, jos niitä hyödynnetään onnistuneesti.

Liian sallitut pääsynhallintaluettelot (ACL) joissakin järjestelmätiedostoissa, mukaan lukien Security Accounts Manager (SAM) -tietokanta, aiheuttavat ongelman.

CERT -artikkelissa on lisätietoja. Sen mukaan BUILTIN/Users -ryhmälle annetaan RX -lupa (Read Execute) tiedostoille kohteessa %windir % system32 config.

Jos VSS (Volume Shadow Copies) on saatavana järjestelmäasemassa, etuoikeutetut käyttäjät voivat hyödyntää haavoittuvuutta hyökkäyksiin, jotka voivat sisältää ohjelmien käynnistämistä, tietojen poistamista, uusien tilien luomista, tilin salasanan tiivisteiden poimimista, DPAPI -tietokoneavainten hankkimista ja paljon muuta.

Mukaan CERT , VSS -varjokopiot luodaan automaattisesti järjestelmäasemille, joissa on 128 gigatavua tai enemmän tallennustilaa, kun Windows -päivitykset tai MSI -tiedostot asennetaan.

Järjestelmänvalvojat voivat ajaa vssadmin lista varjoja korotetusta komentokehotteesta tarkistaaksesi, ovatko varjokopiot käytettävissä.

Microsoft myönsi ongelman vuonna CVE-2021-36934 , arvioi haavoittuvuuden vakavuuden toiseksi korkeimmaksi ja vahvisti, että haavoittuvuus vaikuttaa Windows 10 -versioihin 1809, 1909, 2004, 20H2 ja 21H1, Windows 11 ja Windows Server.

Testaa, voiko HiveNightmare vaikuttaa järjestelmään

sam haavoittuva tarkistus

  1. Käytä pikanäppäintä Windows-X näyttääksesi salaisen valikon laitteessa.
  2. Valitse Windows PowerShell (järjestelmänvalvoja).
  3. Suorita seuraava komento: if ((get -acl C: windows system32 config sam). Access |? IdentityReference -match 'BUILTIN \ Users' | select -expandproperty filesystemrights | select -string 'Read') {write -isäntä 'SAM ehkä VULN'} else {write-host 'SAM NOT vuln'}

Jos 'Sam ehkä VULN' palautetaan, haavoittuvuus vaikuttaa järjestelmään (Twitter -käyttäjän kautta) Dray Agha )

windows-hivenightmare-haavoittuvuus

Tässä on toinen vaihtoehto tarkistaa, onko järjestelmä altis mahdollisille hyökkäyksille:

  1. Valitse Käynnistä.
  2. Kirjoita cmd
  3. Valitse Komentokehote.
  4. Suorita icacls %windir % system32 config sam

Haavoittuva järjestelmä sisältää tulosteen rivin BUILTIN Users: (I) (RX). Haavoittuva järjestelmä näyttää 'pääsy estetty' -viestin.

Ratkaisu HiveNightmaren suojausongelmaan

Microsoft julkaisi kiertotavan verkkosivustollaan suojatakseen laitteita mahdolliselta hyväksikäytöltä.

Huomautus : varjokopioiden poistaminen voi aiheuttaa odottamattomia vaikutuksia sovelluksiin, jotka käyttävät varjokopioita toiminnassaan.

Järjestelmänvalvojat voivat ottaa käyttöön ACL -perinnön tiedostoille kohteessa %windir % system32 config Microsoftin mukaan.

  1. Valitse Käynnistä
  2. Kirjoita cmd.
  3. Valitse Suorita järjestelmänvalvojana.
  4. Vahvista UAC -kehote.
  5. Suorita icacls %windir % system32 config *.* /Perintö: e
  6. vssadmin poista varjot /for = c: /Hiljainen
  7. vssadmin lista varjoja

Komento 5 mahdollistaa ACL -perinnöllisyyden. Komento 6 poistaa olemassa olevat varjokopiot ja komento 7 varmistaa, että kaikki varjokopiot on poistettu.

Nyt sinä : vaikuttaako järjestelmäsi?