Problemumgehung für Windows 10 und 11 HiveNightmare Windows Elevation of Privilege-Sicherheitsanfälligkeit

Versuchen Sie Unser Instrument, Um Probleme Zu Beseitigen

Anfang dieser Woche entdeckten Sicherheitsforscher eine Schwachstelle in neueren Versionen von Microsofts Windows-Betriebssystem, die es Angreifern ermöglicht, Code mit Systemprivilegien auszuführen, wenn sie erfolgreich ausgenutzt werden.

Das Problem wird durch übermäßig freizügige Zugriffssteuerungslisten (ACLs) für einige Systemdateien verursacht, einschließlich der Datenbank des Security Accounts Manager (SAM).

Ein Artikel zu CERT bietet zusätzliche Informationen. Demnach erhält die Gruppe BUILTIN/Users die RX-Berechtigung (Read Execute) für Dateien in %windir%system32config.

Wenn Volumenschattenkopien (VSS) auf dem Systemlaufwerk verfügbar sind, können nicht privilegierte Benutzer die Sicherheitsanfälligkeit für Angriffe ausnutzen, die das Ausführen von Programmen, das Löschen von Daten, das Erstellen neuer Konten, das Extrahieren von Kontokennwort-Hashes, das Abrufen von DPAPI-Computerschlüsseln und mehr umfassen können.

Entsprechend CERT , VSS-Schattenkopien werden automatisch auf Systemlaufwerken mit 128 Gigabyte oder mehr Speicherplatz erstellt, wenn Windows-Updates oder MSI-Dateien installiert werden.

Administratoren können ausgeführt werden vssadmin-Listenschatten an einer Eingabeaufforderung mit erhöhten Rechten, um zu überprüfen, ob Schattenkopien verfügbar sind.

Microsoft hat das Problem in CVE-2021-36934 , bewertete den Schweregrad der Sicherheitsanfälligkeit als wichtig, die zweithöchste Bewertung des Schweregrads, und bestätigte, dass Windows 10, Version 1809, 1909, 2004, 20H2 und 21H1, Windows 11 und Windows Server-Installationen von der Sicherheitsanfälligkeit betroffen sind.

Testen Sie, ob Ihr System von HiveNightmare betroffen sein könnte

sam verwundbar prüfen

  1. Verwenden Sie die Tastenkombination Windows-X, um das 'geheime' Menü auf dem Gerät anzuzeigen.
  2. Wählen Sie Windows PowerShell (Administrator) aus.
  3. Führen Sie den folgenden Befehl aus: if ((get-acl C:windowssystem32configsam).Access | ? IdentityReference -match 'BUILTIN\Users' | select -expandproperty filesystemrights | select-string 'Read'){write -host 'SAM vielleicht VULN' }else { write-host 'SAM NOT vuln'}

Wenn 'Sam Maybe VULN' zurückgegeben wird, ist das System von der Schwachstelle betroffen (über Twitter-Benutzer Dray Agha )

Windows-Hive-Albtraum-Sicherheitslücke

Hier ist eine zweite Möglichkeit, um zu überprüfen, ob das System für potenzielle Angriffe anfällig ist:

  1. Wählen Sie Starten.
  2. Geben Sie cmd . ein
  3. Wählen Sie Eingabeaufforderung.
  4. Führen Sie icacls %windir%system32configsam aus

Ein verwundbares System enthält die Zeile BUILTINUsers:(I)(RX) in der Ausgabe. Ein nicht angreifbares System zeigt die Meldung „Zugriff verweigert“ an.

Problemumgehung für das HiveNightmare-Sicherheitsproblem

Microsoft hat auf seiner Website einen Workaround veröffentlicht, um Geräte vor möglichen Exploits zu schützen.

Notiz : Das Löschen von Schattenkopien kann unvorhergesehene Auswirkungen auf Anwendungen haben, die Schattenkopien für ihre Operationen verwenden.

Administratoren können laut Microsoft die ACL-Vererbung für Dateien in %windir%system32config aktivieren.

  1. Wählen Sie Start
  2. Geben Sie cmd ein.
  3. Wählen Sie Als Administrator ausführen.
  4. Bestätigen Sie die UAC-Eingabeaufforderung.
  5. Führen Sie icacls %windir%system32config*.* /inheritance:e . aus
  6. vssadmin Schatten löschen /for=c: /Quiet
  7. vssadmin-Listenschatten

Befehl 5 aktiviert die ACL-Vererbung. Befehl 6 löscht vorhandene Schattenkopien und Befehl 7 überprüft, ob alle Schattenkopien gelöscht wurden.

Jetzt du : Ist Ihr System betroffen?