„Windows 10“ ir 11 „HiveNightmare“ privilegijų pažeidžiamumo padidinimo „Windows“ sprendimas

Išbandykite Mūsų Instrumentą, Kaip Pašalinti Problemas

Anksčiau šią savaitę saugumo tyrėjai aptiko pažeidžiamumą naujausiose „Microsoft“ „Windows“ operacinės sistemos versijose, leidžiančias užpuolikams paleisti kodą su sistemos privilegijomis, jei jie sėkmingai išnaudojami.

Problemą sukelia pernelyg leistini prieigos kontrolės sąrašai (ACL) kai kuriuose sistemos failuose, įskaitant saugos abonementų tvarkyklės (SAM) duomenų bazę.

Straipsnyje apie CERT pateikiama papildomos informacijos. Pagal tai grupei BUILTIN/Users yra suteiktas RX leidimas (Read Execute) failams %windir % system32 config.

Jei sistemos diske yra tūrinių šešėlių kopijų (VSS), neprivilegijuotieji vartotojai gali pasinaudoti pažeidžiamumu dėl atakų, kurios gali apimti programų paleidimą, duomenų ištrynimą, naujų paskyrų kūrimą, paskyros slaptažodžių maišų išgavimą, DPAPI kompiuterio raktų gavimą ir kt.

Pagal CERT , VSS šešėlinės kopijos automatiškai sukuriamos sistemos diskuose, turinčiuose 128 gigabaitų ar daugiau vietos, kai įdiegiami „Windows“ naujiniai arba MSI failai.

Administratoriai gali paleisti vssadmin sąrašo šešėliai iš padidintos komandų eilutės, kad patikrintumėte, ar yra šešėlinių kopijų.

„Microsoft“ pripažino problemą CVE-2021-36934 , įvertino pažeidžiamumo sunkumą kaip svarbų, antrą pagal dydį, ir patvirtino, kad pažeidžiamumas turi įtakos „Windows 10“ 1809, 1909, 2004, 20H2 ir 21H1, „Windows 11“ ir „Windows Server“ diegimams.

Išbandykite, ar jūsų sistemą gali paveikti „HiveNightmare“

sam pažeidžiamas patikrinimas

  1. Naudokite spartųjį klavišą „Windows-X“, kad įrenginyje būtų rodomas „slaptas“ meniu.
  2. Pasirinkite „Windows PowerShell“ (administratorius).
  3. Vykdykite šią komandą: if ((get -acl C: windows system32 config sam). Prieiga |? IdentityReference -match 'BUILTIN \ Users' | pasirinkite -expandproperty filesystemrights | select -string 'Read') {write -priglobti „SAM galbūt VULN“} dar {rašyti-šeimininką 'SAM NOT vuln'}

Jei grąžinamas „Sam galbūt VULN“, pažeidžiamumas paveikia sistemą (per „Twitter“ vartotoją) Dray Agha )

„Windows-hivenightmare“ pažeidžiamumas

Čia yra antra galimybė patikrinti, ar sistema yra pažeidžiama galimų išpuolių:

  1. Pasirinkite Pradėti.
  2. Įveskite cmd
  3. Pasirinkite komandų eilutę.
  4. Paleiskite icacls %windir % system32 config sam

Pažeidžiama sistema įeina į eilutę BUILTIN Users: (I) (RX). Nepažeidžiama sistema parodys pranešimą „prieiga uždrausta“.

„HiveNightmare“ saugos problemos sprendimas

„Microsoft“ savo svetainėje paskelbė sprendimą, kaip apsaugoti įrenginius nuo galimo išnaudojimo.

Pastaba : šešėlių kopijų ištrynimas gali turėti nenumatytų padarinių programoms, kurios naudoja šešėlines kopijas.

Remdamiesi „Microsoft“, administratoriai gali įgalinti failų, esančių %windir % system32 config, ACL paveldėjimą.

  1. Pasirinkite Pradėti
  2. Įveskite cmd.
  3. Pasirinkite Vykdyti kaip administratorių.
  4. Patvirtinkite UAC raginimą.
  5. Vykdykite icacls %windir % system32 config *.* /Paveldėjimas: e
  6. vssadmin ištrinti šešėlius /for = c: /Tylus
  7. vssadmin sąrašo šešėliai

5 komanda įgalina ACL paveldėjimą. 6 komanda ištrina egzistuojančias šešėlines kopijas, o 7 komanda patikrina, ar visos šešėlinės kopijos buvo ištrintos.

Dabar tu : ar tai paveikė jūsų sistemą?