Tijdelijke oplossing voor Windows 10 en 11 HiveNightmare Windows Elevation of Privilege Kwetsbaarheid

• Categorie: Windows 10

Probeer Ons Instrument Voor Het Oplossen Van Problemen

Selecteer Het Besturingssysteem Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Kies Een Projectieprogramma (Optioneel) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Beschrijf Uw Probleem

Krijg Een Antwoord

Stuur Me Per E -Mail Toon Op De Site

Eerder deze week ontdekten beveiligingsonderzoekers een kwetsbaarheid in recente versies van het Windows-besturingssysteem van Microsoft waardoor aanvallers code kunnen uitvoeren met systeemrechten als ze met succes worden misbruikt.

Overmatig tolerante toegangscontrolelijsten (ACL's) op sommige systeembestanden, waaronder de Security Accounts Manager (SAM)-database, veroorzaken het probleem.

Een artikel over CERT geeft aanvullende informatie. Volgens dit krijgt de BUILTIN/Users-groep RX-toestemming (Read Execute) voor bestanden in %windir%system32config.

Als er Volume Shadow Copies (VSS) beschikbaar zijn op de systeemschijf, kunnen onbevoegde gebruikers het beveiligingslek misbruiken voor aanvallen, waaronder het uitvoeren van programma's, het verwijderen van gegevens, het maken van nieuwe accounts, het extraheren van accountwachtwoordhashes, het verkrijgen van DPAPI-computersleutels en meer.

Volgens CERT , VSS-schaduwkopieën worden automatisch gemaakt op systeemschijven met 128 gigabyte of meer opslagruimte wanneer Windows-updates of MSI-bestanden worden geïnstalleerd.

Beheerders kunnen uitvoeren vssadmin lijst schaduwen vanaf een verhoogde opdrachtprompt om te controleren of schaduwkopieën beschikbaar zijn.

Microsoft erkende het probleem in CVE-2021-36934 , beoordeelde de ernst van de kwetsbaarheid als belangrijk, de op een na hoogste classificatie, en bevestigde dat Windows 10 versie 1809, 1909, 2004, 20H2 en 21H1, Windows 11 en Windows Server-installaties door de kwetsbaarheid worden getroffen.

Test of uw systeem mogelijk wordt beïnvloed door HiveNightmare

1. Gebruik de sneltoets Windows-X om het 'geheime' menu op de machine weer te geven.
2. Selecteer Windows PowerShell (beheerder).
3. Voer de volgende opdracht uit: if ((get-acl C:windowssystem32configsam).Access | ? IdentityReference -match 'BUILTIN\Users' | select -expandproperty filesystemrights | select-string 'Read'){write -host 'SAM misschien VULN' }else {write-host 'SAM NOT vuln'}

Als 'Sam misschien VULN' wordt geretourneerd, wordt het systeem getroffen door de kwetsbaarheid (via Twitter-gebruiker Dray Agha )

Hier is een tweede optie om te controleren of het systeem kwetsbaar is voor mogelijke aanvallen:

1. Selecteer Begin.
2. Typ cmd
3. Selecteer Opdrachtprompt.
4. Voer icacls %windir%system32configsam . uit

Een kwetsbaar systeem bevat de regel BUILTINUsers:(I)(RX) in de uitvoer. Het niet-kwetsbare systeem geeft het bericht 'toegang is geweigerd' weer.

Tijdelijke oplossing voor het HiveNightmare-beveiligingsprobleem

Microsoft heeft op haar website een workaround gepubliceerd om apparaten te beschermen tegen mogelijke exploits.

Opmerking : het verwijderen van schaduwkopieën kan onvoorziene effecten hebben op toepassingen die schaduwkopieën gebruiken voor hun bewerkingen.

Beheerders kunnen ACL-overerving inschakelen voor bestanden in %windir%system32config volgens Microsoft.

1. Selecteer Start
2. Typ cmd.
3. Kies Uitvoeren als beheerder.
4. Bevestig de UAC-prompt.
5. Voer icacls %windir%system32config*.* /inheritance:e . uit
6. vssadmin schaduwen verwijderen /for=c: /Quiet
7. vssadmin lijst schaduwen

Opdracht 5 schakelt ACL-overerving in. Command 6 verwijdert bestaande schaduwkopieën en Command 7 controleert of alle schaduwkopieën zijn verwijderd.

Nu jij : is uw systeem aangetast?