Megkerülő megoldás a Windows 10 és a 11 HiveNightmare Windows Elevation of Privilege biztonsági rése számára

Próbálja Ki A Műszerünket A Problémák Kiküszöbölésére

A hét elején a biztonsági kutatók felfedeztek egy biztonsági rést a Microsoft Windows operációs rendszerének legújabb verzióiban, amely lehetővé teszi, hogy a támadók sikeres jogosultság esetén kódot futtassanak rendszerjogosultságokkal.

A túlzottan megengedő hozzáférés -vezérlési listák (ACL) egyes rendszerfájlokban, köztük a Security Accounts Manager (SAM) adatbázisban, okozzák a problémát.

A CERT -ről szóló cikk további információkat tartalmaz. Eszerint a BUILTIN/Users csoport RX engedélyt (Read Execute) kap a %windir % system32 config fájlokban.

Ha a kötet árnyékmásolatai (VSS) elérhetők a rendszermeghajtón, akkor a jogosulatlan felhasználók kihasználhatják a biztonsági rést olyan támadásokhoz, amelyek magukban foglalhatják a programok futtatását, az adatok törlését, az új fiókok létrehozását, a fiókjelszó -kivonatok kivonását, a DPAPI számítógépkulcsok beszerzését stb.

Alapján CERT , A VSS árnyékmásolatai automatikusan jönnek létre a 128 Gigabájt vagy annál nagyobb tárhelyű rendszermeghajtókon, amikor a Windows frissítéseket vagy az MSI fájlokat telepíti.

A rendszergazdák futhatnak vssadmin lista árnyékok egy emelt szintű parancssorból, hogy ellenőrizze, elérhetőek -e árnyékmásolatok.

A Microsoft elismerte a problémát CVE-2021-36934 , fontosnak minősítette a biztonsági rés súlyosságát, a második legmagasabb súlyossági besorolást, és megerősítette, hogy a Windows 10 1809 -es, 1909 -es, 2004 -es, 20H2 és 21H1 -es verziója, a Windows 11 és a Windows Server telepítéseit érinti a biztonsági rés.

Ellenőrizze, hogy a HiveNightmare nem befolyásolja -e a rendszert

sam sebezhető ellenőrzés

  1. Használja a Windows-X billentyűparancsot a „titkos” menü megjelenítéséhez a gépen.
  2. Válassza a Windows PowerShell (rendszergazda) lehetőséget.
  3. Futtassa a következő parancsot: if ((get -acl C: windows system32 config sam) .Access |? IdentityReference -match 'BUILTIN \ Users' | select -expandproperty filesystemrights | select -string 'Read') {write -host 'SAM talán VULN'} else {write-host 'SAM NOT vuln'}

Ha a „Sam Maybe VULN” értéket kapja vissza, a rendszert érinti a biztonsági rés (a Twitter -felhasználón keresztül) Dray Agha )

windows-hivenightmare sebezhetőség

Itt van egy második lehetőség annak ellenőrzésére, hogy a rendszer sebezhető -e a lehetséges támadásokkal szemben:

  1. Válassza a Start lehetőséget.
  2. Írja be a cmd parancsot
  3. Válassza a Parancssor parancsot.
  4. Futtassa az icacls %windir % system32 config sam fájlt

Egy sebezhető rendszer a BUILTIN Users: (I) (RX) sort tartalmazza a kimenetben. A nem sérülékeny rendszer „hozzáférés megtagadva” üzenetet jelenít meg.

Megkerülő megoldás a HiveNightmare biztonsági problémájára

A Microsoft közzétett egy megoldást a webhelyén, hogy megvédje az eszközöket a lehetséges kihasználásoktól.

jegyzet : az árnyékmásolatok törlése előre nem látható hatással lehet azokra az alkalmazásokra, amelyek árnyékmásolatokat használnak a műveleteikhez.

A Microsoft szerint a rendszergazdák engedélyezhetik az ACL öröklést a %windir % system32 config fájlokban.

  1. Válassza a Start lehetőséget
  2. Írja be a cmd parancsot.
  3. Válassza a Futtatás rendszergazdaként lehetőséget.
  4. Erősítse meg az UAC kérést.
  5. Futtassa az icacls %windir % system32 config *.* /Öröklődést: e
  6. vssadmin árnyékok törlése /for = c: /Csendes
  7. vssadmin lista árnyékok

Az 5. parancs engedélyezi az ACL interheritance -t. A 6. parancs törli a létező árnyékmásolatokat, a 7. parancs pedig ellenőrzi, hogy az összes árnyékmásolat törlődött -e.

Most Te : a rendszer érintett?