Megkerülő megoldás a Windows 10 és a 11 HiveNightmare Windows Elevation of Privilege biztonsági rése számára
- Kategória: Windows 10
A hét elején a biztonsági kutatók felfedeztek egy biztonsági rést a Microsoft Windows operációs rendszerének legújabb verzióiban, amely lehetővé teszi, hogy a támadók sikeres jogosultság esetén kódot futtassanak rendszerjogosultságokkal.
A túlzottan megengedő hozzáférés -vezérlési listák (ACL) egyes rendszerfájlokban, köztük a Security Accounts Manager (SAM) adatbázisban, okozzák a problémát.
A CERT -ről szóló cikk további információkat tartalmaz. Eszerint a BUILTIN/Users csoport RX engedélyt (Read Execute) kap a %windir % system32 config fájlokban.
Ha a kötet árnyékmásolatai (VSS) elérhetők a rendszermeghajtón, akkor a jogosulatlan felhasználók kihasználhatják a biztonsági rést olyan támadásokhoz, amelyek magukban foglalhatják a programok futtatását, az adatok törlését, az új fiókok létrehozását, a fiókjelszó -kivonatok kivonását, a DPAPI számítógépkulcsok beszerzését stb.
Alapján CERT , A VSS árnyékmásolatai automatikusan jönnek létre a 128 Gigabájt vagy annál nagyobb tárhelyű rendszermeghajtókon, amikor a Windows frissítéseket vagy az MSI fájlokat telepíti.
A rendszergazdák futhatnak vssadmin lista árnyékok egy emelt szintű parancssorból, hogy ellenőrizze, elérhetőek -e árnyékmásolatok.
A Microsoft elismerte a problémát CVE-2021-36934 , fontosnak minősítette a biztonsági rés súlyosságát, a második legmagasabb súlyossági besorolást, és megerősítette, hogy a Windows 10 1809 -es, 1909 -es, 2004 -es, 20H2 és 21H1 -es verziója, a Windows 11 és a Windows Server telepítéseit érinti a biztonsági rés.
Ellenőrizze, hogy a HiveNightmare nem befolyásolja -e a rendszert
- Használja a Windows-X billentyűparancsot a „titkos” menü megjelenítéséhez a gépen.
- Válassza a Windows PowerShell (rendszergazda) lehetőséget.
- Futtassa a következő parancsot: if ((get -acl C: windows system32 config sam) .Access |? IdentityReference -match 'BUILTIN \ Users' | select -expandproperty filesystemrights | select -string 'Read') {write -host 'SAM talán VULN'} else {write-host 'SAM NOT vuln'}
Ha a „Sam Maybe VULN” értéket kapja vissza, a rendszert érinti a biztonsági rés (a Twitter -felhasználón keresztül) Dray Agha )
Itt van egy második lehetőség annak ellenőrzésére, hogy a rendszer sebezhető -e a lehetséges támadásokkal szemben:
- Válassza a Start lehetőséget.
- Írja be a cmd parancsot
- Válassza a Parancssor parancsot.
- Futtassa az icacls %windir % system32 config sam fájlt
Egy sebezhető rendszer a BUILTIN Users: (I) (RX) sort tartalmazza a kimenetben. A nem sérülékeny rendszer „hozzáférés megtagadva” üzenetet jelenít meg.
Megkerülő megoldás a HiveNightmare biztonsági problémájára
A Microsoft közzétett egy megoldást a webhelyén, hogy megvédje az eszközöket a lehetséges kihasználásoktól.
jegyzet : az árnyékmásolatok törlése előre nem látható hatással lehet azokra az alkalmazásokra, amelyek árnyékmásolatokat használnak a műveleteikhez.
A Microsoft szerint a rendszergazdák engedélyezhetik az ACL öröklést a %windir % system32 config fájlokban.
- Válassza a Start lehetőséget
- Írja be a cmd parancsot.
- Válassza a Futtatás rendszergazdaként lehetőséget.
- Erősítse meg az UAC kérést.
- Futtassa az icacls %windir % system32 config *.* /Öröklődést: e
- vssadmin árnyékok törlése /for = c: /Csendes
- vssadmin lista árnyékok
Az 5. parancs engedélyezi az ACL interheritance -t. A 6. parancs törli a létező árnyékmásolatokat, a 7. parancs pedig ellenőrzi, hogy az összes árnyékmásolat törlődött -e.
Most Te : a rendszer érintett?