Workaround para sa Windows 10 at 11 HiveNightmare Windows Rating ng Privilege Vulnerability
- Kategorya: Windows 10
Mas maaga sa linggong ito, natuklasan ng mga mananaliksik sa seguridad ang isang kahinaan sa mga kamakailang bersyon ng operating system ng Windows ng Microsoft na nagpapahintulot sa mga umaatake na patakbuhin ang code na may mga pribilehiyo ng system kung matagumpay na pinagsamantalahan.
Ang labis na pinahihintulutang Mga Listahan ng Access Control (ACLs) sa ilang mga file ng system, kabilang ang database ng Mga Security Account ng Manager (SAM), ay sanhi ng isyu.
Ang isang artikulo sa CERT ay nagbibigay ng karagdagang impormasyon. Ayon dito, ang pangkat ng BUILTIN / Users ay binibigyan ng pahintulot ng RX (Basahin ang Ipatupad) sa mga file sa% windir% system32 config.
Kung ang Volume Shadow Copies (VSS) ay magagamit sa drive ng system, maaaring samantalahin ng mga hindi gumagamit ang kahinaan para sa mga pag-atake na maaaring isama ang pagpapatakbo ng mga programa, pagtanggal ng data, paglikha ng mga bagong account, pagkuha ng mga password ng account password, kumuha ng mga DPAPI computer key, at marami pa.
Ayon kay CERT , Ang mga kopya ng anino ng VSS ay awtomatikong nilikha sa mga drive ng system na may 128 Gigabytes o higit pang espasyo sa imbakan kapag na-install ang Windows o mga MSI file.
Maaaring tumakbo ang mga administrator vssadmin listahan ng mga anino mula sa isang mataas na prompt ng utos upang suriin kung magagamit ang mga kopya ng anino.
Kinilala ng Microsoft ang isyu sa CVE-2021-36934 , na-rate ang kalubhaan ng kahinaan na mahalaga, ang pangalawang pinakamataas na rating ng kalubhaan, at nakumpirma na ang bersyon ng Windows 10 na 1809, 1909, 2004, 20H2 at 21H1, Windows 11, at mga pag-install ng Windows Server ay apektado ng kahinaan.
Subukan kung ang iyong system ay maaaring maapektuhan ng HiveNightmare
- Gamitin ang keyboard shortcut na Windows-X upang ipakita ang 'lihim' na menu sa makina.
- Piliin ang Windows PowerShell (admin).
- Patakbuhin ang sumusunod na utos: kung ((get-acl C: windows system32 config sam). Access |? IdentityReferensi -match 'BUILTIN \ Users' | select -expandproperty filesystemrights | select-string 'Read') {isulat -host 'SAM siguro VULN'} iba pa {write-host 'SAM HINDI buln'}
Kung ibalik ang 'Sam siguro VULN', ang sistema ay apektado ng kahinaan (sa pamamagitan ng gumagamit ng Twitter Dray Agha )
Narito ang isang pangalawang pagpipilian upang suriin kung ang system ay mahina laban sa mga potensyal na pag-atake:
- Piliin ang Start.
- Type cmd
- Piliin ang Command Prompt.
- Patakbuhin ang icacls% windir% system32 config sam
Ang isang mahina na sistema ay may kasamang linya BUILTIN Users: (I) (RX) sa output. Ang sistemang hindi madaling maapektuhan ay magpapakita ng isang mensahe na 'tinanggihan ay tinanggihan'.
Workaround para sa isyu ng seguridad ng HiveNightmare
Nag-publish ang Microsoft ng isang solusyon sa website nito upang maprotektahan ang mga aparato laban sa mga potensyal na pagsasamantala.
Tandaan : ang pagtanggal ng mga kopya ng anino ay maaaring may mga hindi inaasahang epekto sa mga application na gumagamit ng Mga Kopya ng Shadow para sa kanilang mga operasyon.
Maaaring paganahin ng mga administrator ang mana ng ACL para sa mga file sa% windir% system32 config alinsunod sa Microsoft.
- Piliin ang Start
- Type cmd.
- Piliin ang Run as administrator.
- Kumpirmahin ang prompt ng UAC.
- Patakbuhin ang icacls% windir% system32 config *. * / Mana: e
- vssadmin tanggalin ang mga anino / para sa = c: / Tahimik
- vssadmin listahan ng mga anino
Nagbibigay-daan ang Command 5 sa interLitance ng ACL. Tinatanggal ng Command 6 ang mga kopya ng anino na mayroon at napatunayan ng Command 7 na ang lahat ng mga kopya ng anino ay tinanggal.
Ngayon Ikaw : apektado ba ang system mo?