Řešení pro Windows 10 a 11 HiveNightmare Windows Elevation of Privilege Zranitelnost

• Kategorie: Windows 10

Vyzkoušejte Náš Nástroj Pro Odstranění Problémů

Vyberte Operační Systém Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Vyberte Program Projekce (Volitelně) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Popište Svůj Problém

Získejte Odpověď

Pošlete Mi E -Mailem Zobrazit Na Webu

Začátkem tohoto týdne objevili bezpečnostní experti v nedávných verzích operačního systému Microsoft Windows zranitelnost, která útočníkům umožňuje v případě úspěšného zneužití spouštět kód se systémovými oprávněními.

Příčinou problému jsou příliš povolné seznamy řízení přístupu (ACL) u některých systémových souborů, včetně databáze Security Accounts Manager (SAM).

Další informace poskytuje článek o CERT. Podle toho je skupině BUILTIN/Users uděleno oprávnění RX (Read Execute) k souborům v %windir % system32 config.

Pokud jsou na systémové jednotce k dispozici Volume Shadow Copies (VSS), mohou neprivilegovaní uživatelé tuto chybu zabezpečení zneužít k útokům, které mohou zahrnovat spouštění programů, mazání dat, vytváření nových účtů, extrahování hash hesel účtů, získávání počítačových klíčů DPAPI a další.

Podle CERT „Stínové kopie VSS se vytvářejí automaticky na systémových jednotkách s 128 GB nebo více úložného prostoru, když jsou nainstalovány aktualizace systému Windows nebo soubory MSI.

Mohou běžet správci vssadmin seznam stínů ze zvýšeného příkazového řádku zkontrolujte, zda jsou k dispozici stínové kopie.

Společnost Microsoft uznala problém v CVE-2021-36934 , vyhodnotil závažnost zranitelnosti jako důležitou, druhé nejvyšší hodnocení závažnosti a potvrdil, že zranitelnost je ovlivněna instalací Windows 10 verze 1809, 1909, 2004, 20H2 a 21H1, Windows 11 a Windows Server.

Vyzkoušejte, zda může být váš systém ovlivněn HiveNightmare

1. Pomocí klávesové zkratky Windows-X zobrazte na počítači „tajnou“ nabídku.
2. Vyberte Windows PowerShell (správce).
3. Spusťte následující příkaz: if ((get -acl C: windows system32 config sam). Access |? IdentityReference -match 'BUILTIN \ Users' | select -expandproperty filesystemrights | select -string 'Read') {write -host 'SAM možná VULN'} else {write-host 'SAM NOT vuln'}

Pokud je vráceno „Sam možná VULN“, systém je zranitelností ovlivněn (prostřednictvím uživatele Twitteru Dray Agha )

Zde je druhá možnost, jak zkontrolovat, zda je systém zranitelný vůči potenciálním útokům:

1. Vyberte Start.
2. Zadejte cmd
3. Vyberte příkazový řádek.
4. Spusťte icacls %windir % system32 config sam

Zranitelný systém obsahuje ve výstupu řádek BUILTIN Users: (I) (RX). Nezranitelný systém zobrazí zprávu „přístup byl odepřen“.

Řešení pro problém se zabezpečením HiveNightmare

Společnost Microsoft zveřejnila na svých webových stránkách řešení na ochranu zařízení před potenciálním zneužitím.

Poznámka : mazání stínových kopií může mít nepředvídané účinky na aplikace, které ke své činnosti používají stínové kopie.

Podle společnosti Microsoft mohou správci povolit dědičnost ACL pro soubory v souboru %windir % system32 config.

1. Vyberte Start
2. Zadejte cmd.
3. Vyberte Spustit jako správce.
4. Potvrďte výzvu UAC.
5. Spusťte icacls %windir % system32 config *.* /Inheritance: e
6. vssadmin odstranit stíny /for = c: /Quiet
7. vssadmin seznam stínů

Příkaz 5 umožňuje interheritanci ACL. Příkaz 6 odstraní existující stínové kopie a příkaz 7 ověří, že byly odstraněny všechny stínové kopie.

Teď ty : je váš systém ovlivněn?