Solució alternativa per a Windows 10 i 11 Vulnerabilitat d'elevació de privilegis de Windows HiveNightmare

A principis d’aquesta setmana, els investigadors de seguretat van descobrir una vulnerabilitat en les versions recents del sistema operatiu Windows de Microsoft que permet als atacants executar codi amb privilegis del sistema si s’exploten amb èxit.

Les llistes de control d’accés (ACL) massa permissives d’alguns fitxers del sistema, inclosa la base de dades de Gestió de comptes de seguretat (SAM), estan causant el problema.

Un article sobre CERT proporciona informació addicional. Segons ell, el grup BUILTIN / Users té permís RX (Read Execute) per als fitxers de% windir% system32 config.

Si les còpies de volum (VSS) estan disponibles a la unitat del sistema, els usuaris sense privilegis poden aprofitar la vulnerabilitat per atacs que poden incloure programes en execució, supressió de dades, creació de comptes nous, extracció de hashes de contrasenyes de comptes, obtenció de claus d’ordinador DPAPI i molt més.

D'acord amb CERT , Les còpies shadow VSS es creen automàticament en unitats del sistema amb 128 Gigabytes o més d'emmagatzematge quan s'instal·len actualitzacions de Windows o fitxers MSI.

Els administradors poden executar-se ombres de la llista vssadmin des d'un indicador de comandes elevat per comprovar si hi ha còpies shadow disponibles.

Microsoft va reconèixer el problema a CVE-2021-36934 , va classificar la gravetat de la vulnerabilitat com a important, la segona classificació de gravetat més alta i va confirmar que les instal·lacions de Windows 10 versió 1809, 1909, 2004, 20H2 i 21H1, Windows 11 i Windows Server estan afectades per la vulnerabilitat.

Comproveu si HiveNightmare pot afectar el vostre sistema

sam xec vulnerable

  1. Utilitzeu la drecera de teclat Windows-X per mostrar el menú 'secret' a la màquina.
  2. Seleccioneu Windows PowerShell (administrador).
  3. Executeu l'ordre següent: if ((get-acl C: windows system32 config sam). Accés |? IdentityReference -match 'BUILTIN \ Users' | select -expandproperty filesystemrights | select-string 'Read') {write -host 'SAM might VULN'} else {write-host 'SAM NOT vuln'}

Si es torna 'Sam maybe VULN', el sistema es veurà afectat per la vulnerabilitat (a través de l'usuari de Twitter Dray Agha )

vulnerabilitat de windows-hivenightmare

A continuació, es mostra una segona opció per comprovar si el sistema és vulnerable a possibles atacs:

  1. Seleccioneu Inici.
  2. Escriviu cmd
  3. Seleccioneu símbol del sistema.
  4. Executeu icacls% windir% system32 config sam

Un sistema vulnerable inclou la línia BUILTIN Users: (I) (RX) a la sortida. El sistema no vulnerable mostrarà un missatge 'l'accés es denega'.

Solució alternativa per al problema de seguretat de HiveNightmare

Microsoft va publicar una solució alternativa al seu lloc web per protegir els dispositius contra possibles explotacions.

Nota : la supressió de còpies shadow pot tenir efectes imprevistos en les aplicacions que utilitzen còpies shadow per a les seves operacions.

Els administradors poden habilitar l'herència ACL per als fitxers de% windir% system32 config segons Microsoft.

  1. Seleccioneu Inici
  2. Escriviu cmd.
  3. Seleccioneu Executa com a administrador.
  4. Confirmeu la sol·licitud UAC.
  5. Executeu icacls% windir% system32 config *. * / Inheritance: e
  6. vssadmin elimina ombres / per = c: / Tranquil
  7. ombres de la llista vssadmin

L'ordre 5 habilita la herència ACL. L'ordre 6 suprimeix les còpies shadow que existeixen i l'ordre 7 verifica que totes les còpies shadow s'hagin suprimit.

Ara tu : el vostre sistema està afectat?