Soluție pentru Windows 10 și 11 Vulnerabilitatea HiveNightmare Windows Elevation of Privilege

• Categorie: Windows 10

Încercați Instrumentul Nostru Pentru Eliminarea Problemelor

Selectați Sistemul De Operare Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Alegeți Un Program De Proiecție (Opțional) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Descrie -Ți Problema

Obțineți Un Răspuns

Trimite -Mi Prin E -Mail Afișare Pe Site

La începutul acestei săptămâni, cercetătorii în domeniul securității au descoperit o vulnerabilitate în versiunile recente ale sistemului de operare Windows Microsoft, care permite atacatorilor să ruleze cod cu privilegii de sistem dacă sunt exploatate cu succes.

Listele de control al accesului (ACL) prea permisive pentru unele fișiere de sistem, inclusiv baza de date Manager conturi de securitate (SAM), cauzează problema.

Un articol despre CERT oferă informații suplimentare. Potrivit acestuia, grupului BUILTIN / Users i se acordă permisiunea RX (Read Execute) pentru fișierele din% windir% system32 config.

Dacă Volume Shadow Copies (VSS) sunt disponibile pe unitatea de sistem, utilizatorii neprivilegiați pot exploata vulnerabilitatea pentru atacuri care pot include rularea de programe, ștergerea datelor, crearea de conturi noi, extragerea hashurilor de parolă a contului, obținerea cheilor de computer DPAPI și multe altele.

Conform CERT , Copiile shadow VSS sunt create automat pe unitățile de sistem cu 128 Gigabytes sau mai mult spațiu de stocare atunci când sunt instalate actualizări Windows sau fișiere MSI.

Administratorii pot rula umbre listă vssadmin dintr-un prompt de comandă ridicat pentru a verifica dacă sunt disponibile copii în umbră.

Microsoft a recunoscut problema în CVE-2021-36934 , a evaluat severitatea vulnerabilității ca fiind importantă, al doilea cel mai mare rating de severitate și a confirmat că instalările Windows 10 versiunea 1809, 1909, 2004, 20H2 și 21H1, Windows 11 și Windows Server sunt afectate de vulnerabilitate.

Testați dacă sistemul dvs. poate fi afectat de HiveNightmare

1. Utilizați comanda rapidă de la tastatură Windows-X pentru a afișa meniul „secret” pe aparat.
2. Selectați Windows PowerShell (administrator).
3. Rulați următoarea comandă: if ((get-acl C: windows system32 config sam) .Access |? IdentityReference -match 'BUILTIN \ Users' | select -expandproperty filesystemrights | select-string 'Read') {write -host 'SAM may VULN'} else {write-host 'SAM NOT vuln'}

Dacă se returnează „Sam might VULN”, sistemul este afectat de vulnerabilitate (prin intermediul utilizatorului Twitter Dray Agha )

Iată o a doua opțiune pentru a verifica dacă sistemul este vulnerabil la potențiale atacuri:

1. Selectați Start.
2. Tastați cmd
3. Selectați Prompt comandă.
4. Rulați icacls% windir% system32 config sam

Un sistem vulnerabil include linia BUILTIN Users: (I) (RX) în ieșire. Sistemul non-vulnerabil va afișa un mesaj „accesul este refuzat”.

Soluție pentru problema de securitate HiveNightmare

Microsoft a publicat o soluție pe site-ul său web pentru a proteja dispozitivele împotriva potențialelor exploitări.

Notă : ștergerea copiilor shadow poate avea efecte neprevăzute asupra aplicațiilor care folosesc Shadow Copies pentru operațiunile lor.

Administratorii pot activa moștenirea ACL pentru fișierele din% windir% system32 config conform Microsoft.

1. Selectați Start
2. Tastați cmd.
3. Alegeți Executare ca administrator.
4. Confirmați solicitarea UAC.
5. Rulați icacls% windir% system32 config *. * / Inheritance: e
6. vssadmin șterge umbrele / for = c: / Quiet
7. umbre listă vssadmin

Comanda 5 activează moștenirea ACL. Comanda 6 șterge copiile shadow existente și Comanda 7 verifică dacă toate copiile shadow au fost șterse.

Acum tu : sistemul dvs. este afectat?