Обходной путь для Windows 10 и 11 уязвимости HiveNightmare, связанной с повышением привилегий Windows

• Категория: Windows 10

Попробуйте наш инструмент устранения неполадок

Выберите операционную систему Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Выберите язык програмирования (опционально) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Опишите свою проблему

Получить ответ

Отправить мне на email Показать на сайте

Ранее на этой неделе исследователи безопасности обнаружили уязвимость в последних версиях операционной системы Microsoft Windows, которая позволяет злоумышленникам запускать код с системными привилегиями в случае успешного использования.

Причиной проблемы являются чрезмерно разрешающие списки управления доступом (ACL) для некоторых системных файлов, включая базу данных диспетчера учетных записей безопасности (SAM).

Статья о CERT предоставляет дополнительную информацию. В соответствии с ним, группе BUILTIN / Users предоставляется разрешение RX (чтение и выполнение) для файлов в% windir% system32 config.

Если теневые копии томов (VSS) доступны на системном диске, непривилегированные пользователи могут использовать уязвимость для атак, которые могут включать в себя запуск программ, удаление данных, создание новых учетных записей, извлечение хэшей паролей учетных записей, получение компьютерных ключей DPAPI и многое другое.

В соответствии с CERT , Теневые копии VSS создаются автоматически на системных дисках с объемом памяти 128 ГБ или более при установке обновлений Windows или файлов MSI.

Администраторы могут запускать vssadmin список теней из командной строки с повышенными привилегиями, чтобы проверить, доступны ли теневые копии.

Microsoft признала проблему в CVE-2021-36934 , оценил серьезность уязвимости как важную, второй по степени серьезности, и подтвердил, что уязвимости подвержены Windows 10 версий 1809, 1909, 2004, 20H2 и 21H1, Windows 11 и Windows Server.

Проверьте, не влияет ли на вашу систему HiveNightmare

1. Используйте сочетание клавиш Windows-X, чтобы отобразить «секретное» меню на машине.
2. Выберите Windows PowerShell (администратор).
3. Выполните следующую команду: if ((get-acl C: windows system32 config sam) .Access |? IdentityReference -match 'BUILTIN \ Users' | select -expandproperty filesystemrights | select-string 'Read') {write -host 'SAM, возможно, VULN'} else {write-host 'SAM NOT vuln'}

Если возвращается «Сэм, возможно, VULN», система подвержена уязвимости (через пользователя Twitter Дрей Ага )

Вот второй вариант, чтобы проверить, уязвима ли система для потенциальных атак:

1. Выберите Пуск.
2. Введите cmd
3. Выберите командную строку.
4. Запустите icacls% windir% system32 config sam

Уязвимая система включает строку BUILTIN Users: (I) (RX) в выводе. Неуязвимая система отобразит сообщение «Доступ запрещен».

Обход проблемы безопасности HiveNightmare

Microsoft опубликовала на своем веб-сайте обходной путь для защиты устройств от потенциальных уязвимостей.

Примечание : удаление теневых копий может иметь непредвиденные последствия для приложений, которые используют теневые копии для своих операций.

Администраторы могут включить наследование ACL для файлов в% windir% system32 config в соответствии с Microsoft.

1. Выберите Пуск
2. Введите cmd.
3. Выберите Запуск от имени администратора.
4. Подтвердите запрос UAC.
5. Запустите icacls% windir% system32 config *. * / Inheritance: e
6. vssadmin удалить тени / for = c: / Quiet
7. vssadmin список теней

Команда 5 включает смену наследования ACL. Команда 6 удаляет существующие теневые копии, а команда 7 проверяет, что все теневые копии были удалены.

Теперь ваша очередь : ваша система затронута?