פתרון לעקיפת הבעיה של Windows 10 ו- 11 HiveNightmare Windows העלאת פגיעות הפריבילגיה

נסה את הכלי שלנו לביטול בעיות

בתחילת השבוע גילו חוקרי האבטחה פגיעות בגרסאות האחרונות של מערכת ההפעלה Windows של מיקרוסופט המאפשרת לתוקפים להריץ קוד בעל הרשאות מערכת אם הוא מנוצל בהצלחה.

רשימות בקרת גישה מורשות מדי (ACL) בכמה קבצי מערכת, כולל מסד הנתונים של מנהל חשבונות האבטחה (SAM), גורמות לבעיה.

מאמר בנושא CERT מספק מידע נוסף. על פי זה, לקבוצת BUILTIN/Users ניתנת הרשאת RX (Read Execute) לקבצים ב- %windir % system32 config.

אם זמינות עותקי צל (Volume VSL) זמינים בכונן המערכת, משתמשים חסרי זכויות יוצרים עשויים לנצל את הפגיעות בהתקפות שעשויות לכלול הפעלת תוכניות, מחיקת נתונים, יצירת חשבונות חדשים, חילוץ hash של סיסמאות חשבון, השגת מפתחות מחשב DPAPI ועוד.

לפי CERT , עותקי צל VSS נוצרים באופן אוטומטי בכונני מערכת עם 128 ג'יגה -בתים או יותר שטח אחסון בעת ​​התקנת עדכוני Windows או קבצי MSI.

מנהלי מערכת רשאים לרוץ צלליות רשימת vssadmin משורת פקודה מורמת כדי לבדוק אם יש עותקי צל.

מיקרוסופט הכירה בנושא ב CVE-2021-36934 , דירג את חומרת הפגיעות כחשובה, דירוג החומרה השני בגובהה, ואישר כי התקנות Windows 10, 1809, 1909, 2004, 20H2 ו- 21H1, Windows 11 ו- Windows Server מושפעות מהפגיעות.

בדוק אם המערכת שלך עלולה להיות מושפעת מ- HiveNightmare

בדיקה פגיעה בסם

  1. השתמש בקיצור המקשים Windows-X כדי להציג את התפריט 'הסודי' במכונה.
  2. בחר את Windows PowerShell (מנהל מערכת).
  3. הפעל את הפקודה הבאה: אם ((get -acl C: windows system32 config sam) .Access |? IdentityReference -match 'BUILTIN \ Users' | בחר -expandproperty מערכות קבצים | select -string 'Read') {לכתוב -מארח 'SAM אולי VULN'} אחר {כותב-מארח 'SAM NOT vuln'}

אם 'סאם אולי VULN' מוחזר, המערכת מושפעת מהפגיעות (באמצעות משתמש טוויטר דריי אגה )

פגיעות של windows-hivenightmare

להלן אפשרות שנייה לבדוק אם המערכת חשופה להתקפות אפשריות:

  1. בחר התחל.
  2. הקלד cmd
  3. בחר שורת פקודה.
  4. הפעל את icacls %windir % system32 config sam

מערכת פגיעה כוללת את השורה BUILTIN Users: (I) (RX) בפלט. מערכת לא פגיעה תציג הודעת 'גישה נדחית'.

פתרון לעקיפת הבעיה של HiveNightmare

מיקרוסופט פרסמה דרך לעקיפת הבעיה באתר שלה כדי להגן על מכשירים מפני ניצול פוטנציאלי.

הערה : מחיקת עותקי צל עלולה להיות בעלת השפעות בלתי צפויות על יישומים המשתמשים בעותקי צל לצורך פעולותיהם.

מנהלי מערכת רשאים לאפשר ירושת ACL עבור קבצים ב- %windir % system32 config על פי Microsoft.

  1. בחר התחל
  2. הקלד cmd.
  3. בחר הפעל כמנהל.
  4. אשר את הפקודה UAC.
  5. הפעל את icacls %windir % system32 config *.* /ירושה: ה
  6. vssadmin מחק צללים /עבור = c: /שקט
  7. צלליות רשימת vssadmin

פקודה 5 מאפשרת תורשת ACL. פקודה 6 מוחקת עותקי צל שקיימים ופקודה 7 מאשרת שכל עותקי הצל נמחקו.

עכשיו אתה : האם המערכת שלך מושפעת?