Zaobilazno rješenje za Windows 10 i 11 HiveNightmare Windows Povećanje ugroženosti privilegija

Ranije ovog tjedna, sigurnosni istraživači otkrili su ranjivost u novijim verzijama Microsoftovog operacijskog sustava Windows koja napadačima omogućuje pokretanje koda sa privilegijama sustava ako se uspješno iskoristi.

Problemi uzrokuju previše dopušteni popisi za kontrolu pristupa (ACL -ovi) na nekim datotekama sustava, uključujući bazu podataka Upravitelja sigurnosnih računa (SAM).

Članak o CERT -u pruža dodatne informacije. Prema njemu, grupa BUILTIN/Users dobiva RX dopuštenje (Read Execute) za datoteke u %windir % system32 config.

Ako su kopije u sjeni volumena (VSS) dostupne na sistemskom pogonu, neprivilegirani korisnici mogu iskoristiti ranjivost za napade koji mogu uključivati ​​pokretanje programa, brisanje podataka, stvaranje novih računa, izdvajanje raspršivanja lozinki računa, dobivanje računalnih ključeva DPAPI i drugo.

Prema CERT , VSS kopije u sjeni automatski se stvaraju na sistemskim pogonima sa 128 gigabajta ili više prostora za pohranu kada su instalirana ažuriranja za Windows ili MSI datoteke.

Administratori se mogu pokrenuti vssadmin popis sjene iz povišenog naredbenog retka kako biste provjerili jesu li dostupne kopije u sjeni.

Microsoft je priznao problem u CVE-2021-36934 , ocijenio je ozbiljnost ranjivosti važnom, drugom najvećom ocjenom ozbiljnosti i potvrdio da ranjivost utječe na instalacije sustava Windows 10 verzije 1809, 1909, 2004, 20H2 i 21H1, Windows 11 i Windows Server.

Testirajte može li HiveNightmare utjecati na vaš sustav

sam ranjiv ček

  1. Koristite prečac na tipkovnici Windows-X za prikaz 'tajnog' izbornika na stroju.
  2. Odaberite Windows PowerShell (administrator).
  3. Pokrenite sljedeću naredbu: if ((get -acl C: windows system32 config sam) .Access |? IdentityReference -match 'BUILTIN \ Users' | select -expandproperty filesystemrights | select -string 'Read') {write -host 'SAM možda VULN'} drugo {write-host 'SAM NOT vuln'}

Ako se vrati 'Sam možda VULN', ranjivost utječe na sustav (putem korisnika Twittera Dray Agha )

Windows-hivenightmare ranjivost

Evo druge mogućnosti provjere je li sustav osjetljiv na moguće napade:

  1. Odaberite Start.
  2. Upišite cmd
  3. Odaberite Naredbeni redak.
  4. Pokrenite icacls %windir % system32 config sam

Ranjivi sustav uključuje liniju BUILTIN Users: (I) (RX) u izlazu. Neranjivi sustav prikazat će poruku 'pristup je odbijen'.

Zaobilazno rješenje za sigurnosni problem HiveNightmare

Microsoft je na svojoj web stranici objavio rješenje za zaštitu uređaja od potencijalnih zlouporaba.

Bilješka : brisanje kopija u sjeni može imati nepredviđene učinke na aplikacije koje koriste sjenovite kopije za svoje operacije.

Administratori mogu omogućiti nasljeđivanje ACL -a za datoteke u %windir % system32 config prema Microsoftu.

  1. Odaberite Start
  2. Upišite cmd.
  3. Odaberite Pokreni kao administrator.
  4. Potvrdite UAC upit.
  5. Pokrenite icacls %windir % system32 config *.* /Nasljedstvo: e
  6. vssadmin obriši sjene /for = c: /Tiho
  7. vssadmin popis sjene

Naredba 5 omogućuje ACL nasljeđivanje. Naredba 6 briše postojeće kopije u sjeni, a naredbom 7 provjerava jesu li sve kopije u sjeni izbrisane.

Sada Ti : je li vaš sustav pogođen?