Risinājums Windows 10 un 11 HiveNightmare privilēģiju ievainojamības paaugstināšanai Windows

• Kategorija: Windows 10

Izmēģiniet Mūsu Instrumentu Problēmu Novēršanai

Atlasiet Operētājsistēmu Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Izvēlieties Projekcijas Programmu (Pēc Izvēles) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Aprakstiet Savu Problēmu

Saņemt Atbildi

Atsūti Mani Pa E -Pastu Rādīt Vietnē

Šīs nedēļas sākumā drošības pētnieki atklāja Microsoft Windows operētājsistēmas jaunāko versiju ievainojamību, kas ļauj uzbrucējiem palaist kodu ar sistēmas privilēģijām, ja tas tiek veiksmīgi izmantots.

Pārāk pieļaujamie piekļuves kontroles saraksti (ACL) dažos sistēmas failos, tostarp drošības kontu pārvaldnieka (SAM) datu bāzē, rada problēmu.

Raksts par CERT sniedz papildu informāciju. Saskaņā ar to grupai BUILTIN/Users tiek piešķirta RX atļauja (lasīšanas izpilde) failiem %windir % system32 config.

Ja sistēmas diskā ir pieejamas apjomīgās ēnu kopijas (VSS), priviliģētie lietotāji var izmantot ievainojamību uzbrukumiem, kas var ietvert programmu palaišanu, datu dzēšanu, jaunu kontu izveidi, konta paroļu jaukšanu, DPAPI datora atslēgu iegūšanu un daudz ko citu.

Saskaņā ar CERT , VSS ēnu kopijas tiek automātiski izveidotas sistēmas diskdziņos ar 128 gigabaitiem vai vairāk vietas, kad tiek instalēti Windows atjauninājumi vai MSI faili.

Administratori var palaist vssadmin saraksta ēnas no paaugstinātas komandu uzvednes, lai pārbaudītu, vai ir pieejamas ēnu kopijas.

Gadā Microsoft atzina šo problēmu CVE-2021-36934 , novērtēja ievainojamības nopietnību kā otro nozīmīgāko un apstiprināja, ka ievainojamība ietekmē Windows 10 versiju 1809, 1909, 2004, 20H2 un 21H1, Windows 11 un Windows Server instalācijas.

Pārbaudiet, vai jūsu sistēmu var ietekmēt HiveNightmare

1. Izmantojiet īsinājumtaustiņu Windows-X, lai ierīcē parādītu slepeno izvēlni.
2. Atlasiet Windows PowerShell (administrators).
3. Palaidiet šādu komandu: if ((get -acl C: windows system32 config sam). Piekļuve |? IdentityReference -match 'BUILTIN \ Users' | select -expandproperty filesystemrights | select -string 'Read') {write -meistars 'SAM varbūt VULN'} cits {rakstīt-saimniekdators 'SAM NOT vuln'}

Ja tiek atgriezts 'Sam varbūt VULN', sistēmu ietekmē ievainojamība (izmantojot Twitter lietotāju Dray Agha )

Šeit ir otra iespēja, lai pārbaudītu, vai sistēma ir neaizsargāta pret iespējamiem uzbrukumiem:

1. Atlasiet Sākt.
2. Ierakstiet cmd
3. Atlasiet Komandu uzvedne.
4. Palaidiet icacls %windir % system32 config sam

Neaizsargāta sistēma izvadē ietver rindu BUILTIN Users: (I) (RX). Neaizsargāta sistēma parādīs ziņojumu “piekļuve liegta”.

Risinājums HiveNightmare drošības problēmai

Microsoft savā vietnē publicēja risinājumu, lai aizsargātu ierīces pret iespējamu izmantošanu.

Piezīme : ēnu kopiju dzēšanai var būt neparedzēta ietekme uz lietojumprogrammām, kas savām darbībām izmanto ēnu kopijas.

Administratori var iespējot ACL mantojumu failiem %windir % system32 config saskaņā ar Microsoft.

1. Atlasiet Sākt
2. Ierakstiet cmd.
3. Izvēlieties Palaist kā administratoram.
4. Apstipriniet UAC uzvedni.
5. Palaidiet icacls %windir % system32 config *.* /Mantojums: e
6. vssadmin dzēst ēnas /for = c: /kluss
7. vssadmin saraksta ēnas

5. komanda iespējo ACL pārmantojamību. 6. komanda izdzēš esošās ēnu kopijas, un 7. komanda pārbauda, ​​vai visas ēnu kopijas ir izdzēstas.

Tagad Tu : vai jūsu sistēma ir ietekmēta?