Lahendus operatsioonisüsteemidele Windows 10 ja 11 HiveNightmare'i Windowsi privileegide haavatavus

• Kategooria: Windows 10

Proovige Meie Instrumenti Probleemide Kõrvaldamiseks

Valige Operatsioonisüsteem Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Valige Projektsiooniprogramm (Valikuliselt) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Kirjeldage Oma Probleemi

Vastust Saama

Saada Mulle E -Posti Teel Näita Saidil

Selle nädala alguses avastasid turu -uurijad Microsofti Windowsi opsüsteemi viimastest versioonidest haavatavuse, mis võimaldab ründajatel edukalt kasutamisel süsteemiõigustega koodi käivitada.

Probleemi põhjustavad mõned süsteemifailid, sealhulgas turvakontode halduri (SAM) andmebaas, liiga lubavad juurdepääsu kontrollnimekirjad.

Lisateavet pakub CERTi käsitlev artikkel. Vastavalt sellele antakse rühmale BUILTIN/Kasutajad RX -luba (lugemiskäivitus) failidele, mis on %windir % system32 config.

Kui mahu varjukoopiad (VSS) on süsteemidraivil saadaval, võivad eelisõigusteta kasutajad kasutada turvaauku rünnakuteks, mis võivad hõlmata programmide käivitamist, andmete kustutamist, uute kontode loomist, konto parooliräside ekstraheerimist, DPAPI arvutivõtmete hankimist ja palju muud.

Vastavalt CERT , Windowsi värskenduste või MSI -failide installimisel luuakse VSS -i varikoopiad automaatselt süsteemidraividele, millel on 128 gigabaiti või rohkem salvestusruumi.

Administraatorid võivad kandideerida vssadmin nimekirja varjud kõrgendatud käsurealt, et kontrollida, kas varikoopiad on saadaval.

Microsoft tunnistas probleemi aastal CVE-2021-36934 , hindas haavatavuse tõsiduse oluliseks, suuruselt teiseks ning kinnitas, et haavatavus mõjutab Windows 10 versioone 1809, 1909, 2004, 20H2 ja 21H1, Windows 11 ja Windows Server.

Kontrollige, kas HiveNightmare võib teie süsteemi mõjutada

1. Kasutage masina salajase menüü kuvamiseks kiirklahvi Windows-X.
2. Valige Windows PowerShell (administraator).
3. Käivitage järgmine käsk: if ((get -acl C: windows system32 config sam). Juurdepääs |? IdentityReference -match 'BUILTIN \ Users' | select -expandproperty filesystemrights | select -string 'Read') {write -host 'SAM võib-olla VULN'} else {write-host 'SAM NOT vuln'}

Kui tagastatakse „Sam võib -olla VULN”, mõjutab turvaauk süsteemi (Twitteri kasutaja kaudu) Dray Agha )

Siin on teine ​​võimalus kontrollida, kas süsteem on võimalike rünnakute suhtes haavatav:

1. Valige Start.
2. Tippige cmd
3. Valige Käsuviip.
4. Käivitage icacls %windir % system32 config sam

Haavatav süsteem sisaldab väljundis rida BUILTIN Users: (I) (RX). Haavatav süsteem kuvab teate „juurdepääs keelatud”.

Lahendus HiveNightmare'i turvaprobleemile

Microsoft avaldas oma veebisaidil lahenduse, et kaitsta seadmeid võimaliku ärakasutamise eest.

Märge : varikoopiate kustutamisel võivad olla ettenägematud tagajärjed rakendustele, mis kasutavad varikoopiaid.

Administraatorid võivad Microsofti andmetel lubada ACL -i pärimise failidele failis %windir % system32 config.

1. Valige Start
2. Tippige cmd.
3. Valige Käivita administraatorina.
4. Kinnitage UAC -i viip.
5. Käivitage icacls %windir % system32 config *.* /Pärand: e
6. vssadmin varjude kustutamine /for = c: /vaikne
7. vssadmin nimekirja varjud

Käsk 5 võimaldab ACL -i pärimist. Käsk 6 kustutab olemasolevad varikoopiad ja käsk 7 kontrollib, kas kõik varikoopiad on kustutatud.

Nüüd sina : kas teie süsteem on mõjutatud?