Riešenie pre Windows 10 a 11 HiveNightmare Windows Elevation of Privilege Security

• Kategórie: Windows 10

Vyskúšajte Náš Nástroj Na Odstránenie Problémov

Vyberte Operačný Systém Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Vyberte Program Projekcie (Voliteľne) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Popíšte Svoj Problém

Získajte Odpoveď

Pošlite Mi E -Mailom Zobraziť Na Webe

Začiatkom tohto týždňa výskumníci v oblasti bezpečnosti zistili zraniteľnosť v najnovších verziách operačného systému Microsoft Windows, ktorá útočníkom umožňuje v prípade úspešného zneužitia spustiť kód so systémovými oprávneniami.

Príčinou problému sú príliš povolené zoznamy riadenia prístupu (ACL) niektorých systémových súborov vrátane databázy Security Accounts Manager (SAM).

Článok o CERT poskytuje ďalšie informácie. Podľa toho skupina BUILTIN/Users dostane povolenie RX (Read Execute) k súborom v %windir % system32 config.

Ak sú na systémovej jednotke k dispozícii zväzky tieňových kópií (VSS), neprivilegovaní používatelia môžu túto chybu zabezpečenia využiť na útoky, ktoré môžu zahŕňať spúšťanie programov, odstraňovanie údajov, vytváranie nových účtov, extrahovanie hash hesiel účtov, získavanie počítačových kľúčov DPAPI a ďalšie.

Podľa CERT „Tieňové kópie VSS sa automaticky vytvoria na systémových jednotkách s 128 GB alebo viac úložného priestoru, keď sú nainštalované aktualizácie systému Windows alebo súbory MSI.

Správcovia môžu bežať vssadmin zoznam tieňov zo zvýšeného príkazového riadka skontrolujte, či sú k dispozícii tieňové kópie.

Microsoft uznal problém v CVE-2021-36934 , vyhodnotili závažnosť zraniteľnosti ako dôležitú, druhé najvyššie hodnotenie závažnosti a potvrdili, že zraniteľnosť je ovplyvnená inštaláciami Windows 10 verzie 1809, 1909, 2004, 20H2 a 21H1, Windows 11 a Windows Server.

Vyskúšajte, či môže byť váš systém ovplyvnený HiveNightmare

1. Pomocou klávesovej skratky Windows-X zobrazte na počítači „tajnú“ ponuku.
2. Vyberte Windows PowerShell (správca).
3. Spustite nasledujúci príkaz: if ((get -acl C: windows system32 config sam). Access |? IdentityReference -match 'BUILTIN \ Users' | select -expandproperty filesystemrights | select -string 'Read') {write -host 'SAM might VULN'} else {write-host 'SAM NOT vuln'}

Ak sa vráti „Sam might VULN“, systém bude ovplyvnený touto chybou zabezpečenia (prostredníctvom používateľa služby Twitter Dray Agha )

Tu je druhá možnosť, ako skontrolovať, či je systém zraniteľný voči potenciálnym útokom:

1. Vyberte položku Štart.
2. Zadajte cmd
3. Vyberte príkazový riadok.
4. Spustite icacls %windir % system32 config sam

Zraniteľný systém obsahuje vo výstupe riadok BUILTIN Users: (I) (RX). Systém, ktorý nie je zraniteľný, zobrazí správu „Prístup bol odmietnutý“.

Riešenie problému s bezpečnosťou HiveNightmare

Spoločnosť Microsoft zverejnila na svojich webových stránkach riešenie na ochranu zariadení pred potenciálnym zneužitím.

Poznámka : vymazanie tieňových kópií môže mať nepredvídané účinky na aplikácie, ktoré na svoje operácie používajú tieňové kópie.

Podľa Microsoftu môžu správcovia povoliť dedičnosť ACL pre súbory v %windir % system32 config.

1. Vyberte položku Štart
2. Zadajte cmd.
3. Vyberte položku Spustiť ako správca.
4. Potvrďte výzvu UAC.
5. Spustite icacls %windir % system32 config *.* /Dedičnosť: e
6. vssadmin vymazať tiene /for = c: /Ticho
7. vssadmin zoznam tieňov

Príkaz 5 umožňuje interheritanciu ACL. Príkaz 6 vymaže existujúce tieňové kópie a príkaz 7 overí, že boli odstránené všetky tieňové kópie.

Teraz ty : je váš systém ovplyvnený?