Obejście dla systemu Windows 10 i 11 HiveNightmare Luka w zabezpieczeniach systemu Windows związana z podniesieniem uprawnień

• Kategoria: Okna 10

Wypróbuj Nasz Instrument Do Eliminowania Problemów

Wybierz System Operacyjny Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Wybierz Program Projekcji (Opcjonalnie) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Opisz Swój Problem

Dostać Odpowiedź

Wyślij Mi E -Mail Pokaż Na Stronie

Na początku tego tygodnia analitycy bezpieczeństwa odkryli lukę w najnowszych wersjach systemu operacyjnego Windows firmy Microsoft, która w przypadku pomyślnego wykorzystania umożliwia atakującym uruchomienie kodu z uprawnieniami systemowymi.

Przyczyną problemu są zbyt liberalne listy kontroli dostępu (ACL) w niektórych plikach systemowych, w tym w bazie danych Menedżera kont zabezpieczeń (SAM).

Dodatkowe informacje zawiera artykuł na temat CERT. Zgodnie z nim grupa BUILTIN/Users otrzymuje uprawnienia RX (odczyt wykonania) do plików w %windir%system32config.

Jeśli kopie woluminów w tle (VSS) są dostępne na dysku systemowym, nieuprzywilejowani użytkownicy mogą wykorzystać lukę w zabezpieczeniach do ataków, które mogą obejmować uruchamianie programów, usuwanie danych, tworzenie nowych kont, wyodrębnianie skrótów haseł kont, uzyskiwanie kluczy komputerowych DPAPI i nie tylko.

Według CERT , kopie w tle VSS są tworzone automatycznie na dyskach systemowych o pojemności 128 GB lub większej podczas instalowania aktualizacji systemu Windows lub plików MSI.

Administratorzy mogą uruchomić vssadmin listy cienie z wiersza polecenia z podwyższonym poziomem uprawnień, aby sprawdzić, czy dostępne są kopie w tle.

Microsoft potwierdził problem w CVE-2021-36934 , ocenił wagę tej luki jako ważną, zajął drugie miejsce pod względem ważności i potwierdził, że ta luka dotyczy instalacji systemów Windows 10 w wersji 1809, 1909, 2004, 20H2 i 21H1, Windows 11 oraz Windows Server.

Sprawdź, czy HiveNightmare może mieć wpływ na Twój system

1. Użyj skrótu klawiaturowego Windows-X, aby wyświetlić „tajne” menu na komputerze.
2. Wybierz Windows PowerShell (administrator).
3. Uruchom następujące polecenie: if ((get-acl C:windowssystem32configsam).Access | ? IdentityReference -match 'BUILTIN\Users' | select -expandproperty filesystemrights | select-string 'Read'){write -host 'SAM może VULN' }else { write-host 'SAM NIE VULN'}

Jeśli zwracane jest „Sam może VULN”, system jest dotknięty usterką (za pośrednictwem użytkownika Twittera) Dray Agha )

Oto druga możliwość sprawdzenia, czy system jest podatny na potencjalne ataki:

1. Wybierz Start.
2. Wpisz cmd
3. Wybierz Wiersz polecenia.
4. Uruchom icacls %windir%system32configsam

Podatny system zawiera w danych wyjściowych wiersz BUILTINUsers:(I)(RX). System niepodatny na luki wyświetli komunikat „odmowa dostępu”.

Obejście problemu bezpieczeństwa HiveNightmare

Firma Microsoft opublikowała na swojej stronie internetowej obejście mające na celu ochronę urządzeń przed potencjalnymi exploitami.

Notatka : usuwanie kopii w tle może mieć nieprzewidziany wpływ na aplikacje, które używają kopii w tle do swoich operacji.

Administratorzy mogą włączyć dziedziczenie ACL dla plików w %windir%system32config zgodnie z Microsoft.

1. Wybierz Start
2. Wpisz cmd.
3. Wybierz Uruchom jako administrator.
4. Potwierdź monit UAC.
5. Uruchom icacls %windir%system32config*.* /inheritance:e
6. vssadmin usuwa cienie /for=c: /Cichy
7. vssadmin listy cienie

Polecenie 5 włącza współdziedziczenie ACL. Polecenie 6 usuwa istniejące kopie w tle, a Polecenie 7 sprawdza, czy wszystkie kopie w tle zostały usunięte.

Teraz ty : czy Twój system ma wpływ?