Løsning for Windows 10 og 11 HiveNightmare Windows Elevation of Privilege Sårbarhet

• Kategori: Windows 10

Prøv Instrumentet Vårt For Å Eliminere Problemer

Velg Operativsystemet Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Velg Et Projeksjonsprogram (Valgfritt) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Beskriv Problemet Ditt

Få Svar

Send Meg Via E -Post Vis På Nettstedet

Tidligere denne uken oppdaget sikkerhetsforskere et sårbarhet i nyere versjoner av Microsofts Windows -operativsystem som gjør at angriperne kan kjøre kode med systemrettigheter hvis de utnyttes vellykket.

Altfor tillatte tilgangskontrollister (ACL -er) på noen systemfiler, inkludert Security Accounts Manager (SAM) -databasen, forårsaker problemet.

En artikkel om CERT gir tilleggsinformasjon. I følge den får gruppen BUILTIN/brukere RX -tillatelse (Read Execute) til filer i %windir % system32 config.

Hvis Volume Shadow Copies (VSS) er tilgjengelig på systemstasjonen, kan uprivilegerte brukere utnytte sårbarheten for angrep som kan omfatte kjøring av programmer, sletting av data, opprettelse av nye kontoer, uttak av kontopassord -hashes, innhenting av DPAPI -datamaskinnøkler og mer.

I følge CERT , VSS -skyggekopier opprettes automatisk på systemstasjoner med 128 gigabyte eller mer lagringsplass når Windows -oppdateringer eller MSI -filer er installert.

Administratorer kan kjøre vssadmin list skygger fra en hevet ledetekst for å sjekke om skyggekopier er tilgjengelige.

Microsoft anerkjente problemet i CVE-2021-36934 , vurdert alvorlighetsgraden av sårbarheten som viktig, den nest høyeste alvorlighetsgraden, og bekreftet at installasjoner av Windows 10 versjon 1809, 1909, 2004, 20H2 og 21H1, Windows 11 og Windows Server påvirkes av sikkerhetsproblemet.

Test om systemet ditt kan bli påvirket av HiveNightmare

1. Bruk hurtigtasten Windows-X til å vise den 'hemmelige' menyen på maskinen.
2. Velg Windows PowerShell (admin).
3. Kjør følgende kommando: if ((get -acl C: windows system32 config sam) .Access |? IdentityReference -match 'BUILTIN \ Users' | select -expandproperty filesystemrights | select -string 'Read') {write -host 'SAM kanskje VULN'} annet {skrive-vert 'SAM IKKE vuln'}

Hvis 'Sam kanskje VULN' returneres, påvirkes systemet av sårbarheten (via Twitter -bruker Dray Agha )

Her er et annet alternativ for å sjekke om systemet er sårbart for potensielle angrep:

1. Velg Start.
2. Skriv cmd
3. Velg Kommandoprompt.
4. Kjør icacls %windir % system32 config sam

Et sårbart system inkluderer linjen BUILTIN Users: (I) (RX) i utgangen. Ikke-sårbart system vil vise meldingen 'tilgang nektes'.

Løsning for HiveNightmare -sikkerhetsproblemet

Microsoft publiserte en løsning på nettstedet for å beskytte enheter mot potensielle utnyttelser.

Merk : sletting av skyggekopier kan ha uforutsette effekter på applikasjoner som bruker Shadow Copies for sine operasjoner.

Administratorer kan aktivere ACL -arv for filer i %windir % system32 config i henhold til Microsoft.

1. Velg Start
2. Skriv cmd.
3. Velg Kjør som administrator.
4. Bekreft UAC -ledeteksten.
5. Kjør icacls %windir % system32 config *.* /Arv: e
6. vssadmin slett skygger /for = c: /Quiet
7. vssadmin list skygger

Kommando 5 muliggjør ACL -arv. Kommando 6 sletter skyggekopier som finnes, og kommando 7 bekrefter at alle skyggekopier er slettet.

Nå du : er systemet ditt påvirket?