Εναλλακτικός τρόπος αντιμετώπισης για Windows 10 και 11 HiveNightmare Windows Elevation of Privilege Vulnerability

Κατηγορία: Windows 10

Δοκιμάστε Το Όργανο Μας Για Την Εξάλειψη Των Προβλημάτων

Επιλέξτε Το Λειτουργικό Σύστημα Επιλέξτε Ένα Πρόγραμμα Προβολής (Προαιρετικά)

Περιγράψτε Το Πρόβλημά Σας

Νωρίτερα αυτήν την εβδομάδα, οι ερευνητές ασφαλείας ανακάλυψαν ένα θέμα ευπάθειας στις πρόσφατες εκδόσεις του λειτουργικού συστήματος Microsoft της Microsoft που επιτρέπει στους επιτιθέμενους να εκτελούν κώδικα με προνόμια συστήματος εάν εκμεταλλευτούν με επιτυχία.

Οι υπερβολικά επιτρεπτές λίστες ελέγχου πρόσβασης (ACL) σε ορισμένα αρχεία συστήματος, συμπεριλαμβανομένης της βάσης δεδομένων Διαχείριση λογαριασμών ασφαλείας (SAM), προκαλούν το πρόβλημα.

Ένα άρθρο σχετικά με το CERT παρέχει πρόσθετες πληροφορίες. Σύμφωνα με αυτό, η ομάδα BUILTIN/Χρήστες έχει άδεια RX (Ανάγνωση εκτέλεσης) σε αρχεία στο %windir % system32 config.

Εάν τα Volume Shadow Copies (VSS) είναι διαθέσιμα στη μονάδα δίσκου συστήματος, οι μη προνομιούχοι χρήστες ενδέχεται να εκμεταλλευτούν την ευπάθεια για επιθέσεις που μπορεί να περιλαμβάνουν εκτέλεση προγραμμάτων, διαγραφή δεδομένων, δημιουργία νέων λογαριασμών, εξαγωγή κατακερματισμών κωδικού πρόσβασης λογαριασμού, λήψη κλειδιών υπολογιστή DPAPI και άλλα.

Σύμφωνα με CERT , Τα αντίγραφα σκιών VSS δημιουργούνται αυτόματα σε μονάδες συστήματος με χώρο αποθήκευσης 128 Gigabytes ή περισσότερο όταν εγκαθίστανται ενημερώσεις των Windows ή αρχεία MSI.

Οι διαχειριστές μπορεί να τρέχουν σκιές λίστας vssadmin από μια αυξημένη γραμμή εντολών για να ελέγξετε εάν είναι διαθέσιμα αντίγραφα σκιάς.

Η Microsoft αναγνώρισε το πρόβλημα στο CVE-2021-36934 , αξιολόγησε τη σοβαρότητα της ευπάθειας ως σημαντική, τη δεύτερη υψηλότερη βαθμολογία σοβαρότητας και επιβεβαίωσε ότι οι εγκαταστάσεις των Windows 10 έκδοσης 1809, 1909, 2004, 20H2 και 21H1, Windows 11 και Windows Server επηρεάζονται από την ευπάθεια.

Ελέγξτε εάν το σύστημά σας μπορεί να επηρεαστεί από το HiveNightmare

sam ευάλωτη επιταγή

Χρησιμοποιήστε τη συντόμευση πληκτρολογίου Windows-X για να εμφανίσετε το «μυστικό» μενού στο μηχάνημα.
Επιλέξτε Windows PowerShell (διαχειριστής).
Εκτελέστε την ακόλουθη εντολή: if ((get -acl C: windows system32 config sam) .Access |? IdentityReference -match 'BUILTIN \ Users' | select -expandproperty filesystemrights | select -string 'Read') {write -host 'SAM ίσως VULN'} αλλιώς {write-host 'SAM NOT vuln'}

Εάν επιστρέψει το 'Sam Maybe VULN', το σύστημα επηρεάζεται από την ευπάθεια (μέσω του χρήστη Twitter Ντρέι Αγά )

τρωτότητα windows-hivenightmare

Ακολουθεί μια δεύτερη επιλογή για να ελέγξετε εάν το σύστημα είναι ευάλωτο σε πιθανές επιθέσεις:

Επιλέξτε Έναρξη.
Πληκτρολογήστε cmd
Επιλέξτε Γραμμή εντολών.
Εκτελέστε icacls %windir % system32 config sam

Ένα ευάλωτο σύστημα περιλαμβάνει τη γραμμή BUILTIN Users: (I) (RX) στην έξοδο. Το μη ευάλωτο σύστημα θα εμφανίσει ένα μήνυμα «η πρόσβαση απαγορεύεται».

Λύση για το ζήτημα της ασφάλειας του HiveNightmare

Η Microsoft δημοσίευσε μια λύση στον ιστότοπό της για την προστασία των συσκευών από πιθανές εκμεταλλεύσεις.

Σημείωση : η διαγραφή αντιγράφων σκιάς μπορεί να έχει απρόβλεπτες επιπτώσεις σε εφαρμογές που χρησιμοποιούν Shadow Copies για τις λειτουργίες τους.

Οι διαχειριστές ενδέχεται να ενεργοποιήσουν την κληρονομικότητα ACL για αρχεία σε %windir % system32 config σύμφωνα με τη Microsoft.

Επιλέξτε Έναρξη
Πληκτρολογήστε cmd.
Επιλέξτε Εκτέλεση ως διαχειριστής.
Επιβεβαιώστε την προτροπή UAC.
Εκτέλεση icacls %windir % system32 config *.* /Κληρονομικότητα: e
vssadmin διαγραφή σκιών /for = c: /Quiet
σκιές λίστας vssadmin

Η εντολή 5 επιτρέπει την κληρονομικότητα ACL. Η εντολή 6 διαγράφει αντίγραφα σκιάς που υπάρχουν και η εντολή 7 επαληθεύει ότι όλα τα αντίγραφα σκιάς έχουν διαγραφεί.

Τώρα εσύ : επηρεάζεται το σύστημά σας;