Lösning för Windows 10 och 11 HiveNightmare Windows Elevation of Privilege Sårbarhet

Prova Vårt Instrument För Att Eliminera Problem

Tidigare i veckan upptäckte säkerhetsforskare en sårbarhet i de senaste versionerna av Microsofts Windows -operativsystem som gör att angripare kan köra kod med systemrättigheter om de utnyttjas framgångsrikt.

Alltför tillåtande åtkomstkontrollistor (ACL) för vissa systemfiler, inklusive databasen Security Accounts Manager (SAM), orsakar problemet.

En artikel om CERT ger ytterligare information. Enligt den ges gruppen BUILTIN/Users RX -tillstånd (Read Execute) för filer i %windir % system32 config.

Om Volume Shadow Copies (VSS) är tillgängliga på systemdisken kan icke -privilegierade användare utnyttja sårbarheten för attacker som kan inkludera körning av program, radering av data, skapa nya konton, extrahering av lösenords hashar, hämtning av DPAPI -datornycklar med mera.

Enligt CERT , VSS -skuggkopior skapas automatiskt på systemdrivrutiner med 128 gigabyte eller mer lagringsutrymme när Windows -uppdateringar eller MSI -filer installeras.

Administratörer kan köra vssadmin list skuggor från en förhöjd kommandotolk för att kontrollera om skuggkopior är tillgängliga.

Microsoft erkände problemet i CVE-2021-36934 , betygsatt svårighetsgraden av sårbarheten som viktig, den näst högsta allvarlighetsgraden och bekräftade att Windows 10 version 1809, 1909, 2004, 20H2 och 21H1, Windows 11 och Windows Server -installationer påverkas av sårbarheten.

Testa om ditt system kan påverkas av HiveNightmare

sam sårbar kontroll

  1. Använd tangentbordsgenvägen Windows-X för att visa den 'hemliga' menyn på maskinen.
  2. Välj Windows PowerShell (admin).
  3. Kör följande kommando: if ((get -acl C: windows system32 config sam) .Access |? IdentityReference -match 'BUILTIN \ Users' | select -expandproperty filesystemrights | select -string 'Read') {write -värd 'SAM kanske VULN'} annat {skriva-värd 'SAM INTE vuln'}

Om 'Sam kanske VULN' returneras påverkas systemet av sårbarheten (via Twitter -användare Dray Agha )

windows-hivenightmare sårbarhet

Här är ett andra alternativ för att kontrollera om systemet är sårbart för potentiella attacker:

  1. Välj Start.
  2. Skriv cmd
  3. Välj Kommandotolken.
  4. Kör icacls %windir % system32 config sam

Ett sårbart system inkluderar raden BUILTIN Users: (I) (RX) i utdata. Icke-sårbart system kommer att visa meddelandet 'åtkomst nekas'.

Lösning för säkerhetsproblemet HiveNightmare

Microsoft publicerade en lösning på sin webbplats för att skydda enheter mot potentiella utnyttjanden.

Notera : radering av skuggkopior kan ha oförutsedda effekter på applikationer som använder skuggkopior för sin verksamhet.

Administratörer kan aktivera ACL -arv för filer i %windir % system32 config enligt Microsoft.

  1. Välj Start
  2. Skriv cmd.
  3. Välj Kör som administratör.
  4. Bekräfta UAC -prompten.
  5. Kör icacls %windir % system32 config *.* /Arv: e
  6. vssadmin ta bort skuggor /för = c: /Tyst
  7. vssadmin list skuggor

Kommando 5 möjliggör ACL -arv. Kommando 6 raderar skuggkopior som finns och kommando 7 verifierar att alla skuggkopior har raderats.

Nu du : påverkas ditt system?