Løsning til Windows 10 og 11 HiveNightmare Windows Elevation of Privilege Sårbarhed

Prøv Vores Instrument Til At Fjerne Problemer

Tidligere på ugen opdagede sikkerhedsforskere en sårbarhed i de seneste versioner af Microsofts Windows -operativsystem, der gør det muligt for angribere at køre kode med systemrettigheder, hvis de udnyttes med succes.

Alt for tilladte adgangskontrolister (ACL'er) på nogle systemfiler, herunder databasen Security Accounts Manager (SAM), forårsager problemet.

En artikel om CERT indeholder yderligere oplysninger. Ifølge den får gruppen BUILTIN/brugere RX -tilladelse (læs udfør) til filer i %windir % system32 config.

Hvis Volume Shadow Copies (VSS) er tilgængelig på systemdrevet, kan uprivilegerede brugere udnytte sårbarheden for angreb, der kan omfatte kørende programmer, sletning af data, oprettelse af nye konti, udtrækning af hashkoder til kontoadgangskode, hentning af DPAPI -computernøgler og mere.

Ifølge CERT , Oprettes VSS -skyggekopier automatisk på systemdrev med 128 gigabyte eller mere lagerplads, når Windows -opdateringer eller MSI -filer er installeret.

Administratorer kan køre vssadmin liste skygger fra en forhøjet kommandoprompt for at kontrollere, om skyggekopier er tilgængelige.

Microsoft anerkendte problemet i CVE-2021-36934 , vurderede sårbarhedens sværhedsgrad som vigtig, den næsthøjeste sværhedsgrad og bekræftede, at Windows 10 version 1809, 1909, 2004, 20H2 og 21H1, Windows 11 og Windows Server -installationer påvirkes af sårbarheden.

Test, om dit system kan blive påvirket af HiveNightmare

sam sårbar kontrol

  1. Brug tastaturgenvejen Windows-X til at få vist menuen 'hemmelig' på maskinen.
  2. Vælg Windows PowerShell (admin).
  3. Kør følgende kommando: if ((get -acl C: windows system32 config sam) .Access |? IdentityReference -match 'BUILTIN \ Users' | select -expandproperty filesystemrights | select -string 'Read') {write -host 'SAM måske VULN'} andet {skrive-vært 'SAM IKKE vuln'}

Hvis 'Sam måske VULN' returneres, påvirkes systemet af sårbarheden (via Twitter -bruger Dray Agha )

windows-hivenightmare sårbarhed

Her er en anden mulighed for at kontrollere, om systemet er sårbart over for potentielle angreb:

  1. Vælg Start.
  2. Skriv cmd
  3. Vælg kommandoprompt.
  4. Kør icacls %windir % system32 config sam

Et sårbart system inkluderer linjen BUILTIN Users: (I) (RX) i output. Ikke-sårbart system viser meddelelsen 'adgang nægtes'.

Løsning på HiveNightmare -sikkerhedsproblemet

Microsoft offentliggjorde en løsning på sit websted for at beskytte enheder mod potentielle bedrifter.

Bemærk : sletning af skyggekopier kan have uforudsete effekter på applikationer, der bruger Shadow Copies til deres operationer.

Administratorer kan muligvis aktivere ACL -arv for filer i %windir % system32 config ifølge Microsoft.

  1. Vælg Start
  2. Skriv cmd.
  3. Vælg Kør som administrator.
  4. Bekræft UAC -prompten.
  5. Kør icacls %windir % system32 config *.* /Arv: e
  6. vssadmin slette skygger /for = c: /Quiet
  7. vssadmin liste skygger

Kommando 5 muliggør ACL -arv. Kommando 6 sletter skyggekopier, der findes, og kommando 7 bekræfter, at alle skyggekopier er blevet slettet.

Din tur : er dit system påvirket?