Solução alternativa para a vulnerabilidade de elevação de privilégio no Windows 10 e 11 HiveNightmare Windows

• Categoria: Windows 10

Experimente Nosso Instrumento Para Eliminar Problemas

Selecione O Sistema Operacional Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Escolha Um Programa De Projeção (Opcionalmente) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Descreva Seu Problema

Obter Uma Resposta

Envie -Me Por E -Mail Mostrar No Site

No início desta semana, pesquisadores de segurança descobriram uma vulnerabilidade em versões recentes do sistema operacional Windows da Microsoft que permite que invasores executem códigos com privilégios de sistema se explorados com sucesso.

Listas de controle de acesso (ACLs) excessivamente permissivas em alguns arquivos do sistema, incluindo o banco de dados do Gerenciador de contas de segurança (SAM), estão causando o problema.

Um artigo sobre CERT fornece informações adicionais. De acordo com ele, o grupo BUILTIN / Usuários recebe permissão RX (Ler Executar) para arquivos em% windir% system32 config.

Se as cópias de sombra de volume (VSS) estiverem disponíveis na unidade do sistema, os usuários sem privilégios podem explorar a vulnerabilidade para ataques que podem incluir a execução de programas, exclusão de dados, criação de novas contas, extração de hashes de senha de conta, obtenção de chaves de computador DPAPI e muito mais.

De acordo com CERT , As cópias de sombra do VSS são criadas automaticamente nas unidades do sistema com 128 Gigabytes ou mais de espaço de armazenamento quando as atualizações do Windows ou arquivos MSI são instalados.

Os administradores podem executar sombras da lista vssadmin em um prompt de comando elevado para verificar se as cópias de sombra estão disponíveis.

A Microsoft reconheceu o problema em CVE-2021-36934 , classificou a gravidade da vulnerabilidade como importante, a segunda classificação de gravidade mais alta e confirmou que as instalações do Windows 10 versão 1809, 1909, 2004, 20H2 e 21H1, Windows 11 e Windows Server são afetadas pela vulnerabilidade.

Teste se o seu sistema pode ser afetado pelo HiveNightmare

1. Use o atalho de teclado Windows-X para exibir o menu 'secreto' na máquina.
2. Selecione Windows PowerShell (admin).
3. Execute o seguinte comando: if ((get-acl C: windows system32 config sam) .Access |? IdentityReference -match 'BUILTIN \ Users' | select -expandproperty filesystemrights | select-string 'Ler') {escrever -host 'SAM Maybe VULN'} else {write-host 'SAM NOT vuln'}

Se 'Sam talvez VULN' seja retornado, o sistema é afetado pela vulnerabilidade (via usuário do Twitter Dray Agha )

Aqui está uma segunda opção para verificar se o sistema é vulnerável a ataques em potencial:

1. Selecione Iniciar.
2. Digite cmd
3. Selecione Prompt de comando.
4. Execute icacls% windir% system32 config sam

Um sistema vulnerável inclui a linha BUILTIN Users: (I) (RX) na saída. O sistema não vulnerável exibirá uma mensagem 'acesso negado'.

Solução alternativa para o problema de segurança do HiveNightmare

A Microsoft publicou uma solução alternativa em seu site para proteger os dispositivos contra explorações em potencial.

Observação : a exclusão de cópias de sombra pode ter efeitos imprevistos em aplicativos que usam cópias de sombra para suas operações.

Os administradores podem habilitar a herança de ACL para arquivos em% windir% system32 config de acordo com a Microsoft.

1. Selecione Iniciar
2. Digite cmd.
3. Escolha Executar como administrador.
4. Confirme o prompt do UAC.
5. Execute icacls% windir% system32 config *. * / Inheritance: e
6. vssadmin deletar sombras / for = c: / Quiet
7. sombras da lista vssadmin

O comando 5 ativa a herança ACL. O Comando 6 exclui as cópias de sombra existentes e o Comando 7 verifica se todas as cópias de sombra foram excluídas.

Agora você : o seu sistema está afetado?