Rešitev za Windows 10 in 11 HiveNightmare Windows Povečanje ranljivosti privilegijev

• Kategorija: Windows 10

Preizkusite Naš Instrument Za Odpravo Težav

Izberite Operacijski Sistem Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Izberite Program Projekcije (Neobvezno) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Opišite Svoj Problem

Pridobite Odgovor

Pošljite Me Po E -Pošti Pokaži Na Spletnem Mestu

V začetku tega tedna so varnostni raziskovalci v zadnjih različicah Microsoftovega operacijskega sistema Windows odkrili ranljivost, ki napadalcem omogoča izvajanje kode s sistemskimi pravicami, če jih uspešno izkoristijo.

Težave povzročajo preveč dovoljeni seznami za nadzor dostopa (ACL -ji) v nekaterih sistemskih datotekah, vključno z zbirko podatkov upravitelja varnostnih računov (SAM).

Članek o CERT -u ponuja dodatne informacije. V skladu z njim ima skupina BUILTIN/Users uporabnikom dovoljenje RX (Read Execute) za datoteke v %windir % system32 config.

Če so v sistemskem pogonu na voljo kopije v obsegu v senci (VSS), lahko uporabniki, ki niso privilegirani, izkoristijo ranljivost za napade, ki lahko vključujejo zagon programov, brisanje podatkov, ustvarjanje novih računov, ekstrahiranje razpršil gesla za račun, pridobivanje računalniških ključev DPAPI in drugo.

Po navedbah CERT , Senčne kopije VSS se samodejno ustvarijo na sistemskih pogonih s 128 gigabajti ali več prostora za shranjevanje, ko so nameščene posodobitve sistema Windows ali datoteke MSI.

Skrbniki se lahko izvajajo sence seznama vssadmin iz povišanega ukaznega poziva, da preverite, ali so na voljo senčne kopije.

Microsoft je težavo priznal v CVE-2021-36934 , je ocenil resnost ranljivosti kot pomembno, drugo najvišjo stopnjo resnosti in potrdil, da ranljivost vpliva na namestitve Windows 10 različic 1809, 1909, 2004, 20H2 in 21H1, Windows 11 in Windows Server.

Preverite, ali lahko HiveNightmare vpliva na vaš sistem

1. Z bližnjico na tipkovnici Windows-X prikažete 'skrivni' meni na napravi.
2. Izberite Windows PowerShell (skrbnik).
3. Zaženite naslednji ukaz: if ((get -acl C: windows system32 config sam) .Access |? IdentityReference -match 'BUILTIN \ Users' | select -expandproperty filesystemrights | select -string 'Read') {write -host 'SAM morda VULN'} drugo {write-host 'SAM NOT vuln'}

Če se vrne 'Sam morda VULN', ranljivost vpliva na sistem (prek uporabnika Twitterja Dray Agha )

Tu je še ena možnost, da preverite, ali je sistem ranljiv za morebitne napade:

1. Izberite Začni.
2. Vnesite cmd
3. Izberite ukazni poziv.
4. Zaženite icacls %windir % system32 config sam

Ranljiv sistem vključuje vrstico BUILTIN Users: (I) (RX) v izhodu. Neranljiv sistem bo prikazal sporočilo 'dostop je zavrnjen'.

Rešitev za varnostno težavo HiveNightmare

Microsoft je na svojem spletnem mestu objavil rešitev za zaščito naprav pred morebitnimi zlorabami.

Opomba : brisanje senčnih kopij ima lahko nepredvidene učinke na aplikacije, ki uporabljajo senčne kopije za svoje delovanje.

Skrbniki lahko v skladu z Microsoftom omogočijo dedovanje ACL za datoteke v %windir % system32 config.

1. Izberite Začni
2. Vnesite cmd.
3. Izberite Zaženi kot skrbnik.
4. Potrdite poziv UAC.
5. Zaženite icacls %windir % system32 config *.* /Dedovanje: e
6. vssadmin izbriše sence /for = c: /Tiho
7. sence seznama vssadmin

Ukaz 5 omogoča medsebojno dedovanje ACL. Ukaz 6 izbriše obstoječe kopije v senci, ukaz 7 pa preveri, ali so bile vse kopije v senci izbrisane.

Zdaj pa ti : ali je vaš sistem prizadet?