Giải pháp cho Windows 10 và 11 HiveNightmare Windows Nâng cao lỗ hổng đặc quyền

• Thể LoạI: Windows 10

Hãy Thử Công Cụ CủA Chúng Tôi Để LoạI Bỏ Các VấN Đề

ChọN Hệ ĐiềU Hành Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro ChọN MộT Chương Trình ChiếU (Tùy ChọN) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Hãy Miêu Tả VấN Đề CủA BạN

NhậN Câu Trả LờI

GửI Cho Tôi Qua Email HiểN Thị Trên Trang Web

Đầu tuần này, các nhà nghiên cứu bảo mật đã phát hiện ra một lỗ hổng trong các phiên bản gần đây của hệ điều hành Windows của Microsoft cho phép kẻ tấn công chạy mã với các đặc quyền của hệ thống nếu khai thác thành công.

Danh sách kiểm soát truy cập (ACL) quá mức cho phép trên một số tệp hệ thống, bao gồm cả cơ sở dữ liệu Trình quản lý tài khoản bảo mật (SAM), đang gây ra sự cố.

Một bài báo trên CERT cung cấp thêm thông tin. Theo đó, nhóm BUILTIN / Người dùng được cấp quyền RX (Đọc thực thi) cho các tệp trong% windir% system32 config.

Nếu Volume Shadow Copies (VSS) có sẵn trên ổ đĩa hệ thống, người dùng không có đặc quyền có thể khai thác lỗ hổng bảo mật cho các cuộc tấn công có thể bao gồm các chương trình đang chạy, xóa dữ liệu, tạo tài khoản mới, trích xuất băm mật khẩu tài khoản, lấy khóa máy tính DPAPI, v.v.

Dựa theo CHỨNG NHẬN , Các bản sao bóng VSS được tạo tự động trên các ổ đĩa hệ thống có dung lượng lưu trữ 128 Gigabyte trở lên khi các bản cập nhật Windows hoặc tệp MSI được cài đặt.

Quản trị viên có thể chạy bóng danh sách vssadmin từ dấu nhắc lệnh nâng cao để kiểm tra xem có sẵn các bản sao bóng hay không.

Microsoft đã thừa nhận vấn đề trong CVE-2021-36934 , đã đánh giá mức độ nghiêm trọng của lỗ hổng bảo mật là quan trọng, xếp hạng mức độ nghiêm trọng cao thứ hai và xác nhận rằng cài đặt Windows 10 phiên bản 1809, 1909, 2004, 20H2 và 21H1, Windows 11 và Windows Server bị ảnh hưởng bởi lỗ hổng.

Kiểm tra xem hệ thống của bạn có thể bị ảnh hưởng bởi HiveNightmare hay không

1. Sử dụng phím tắt Windows-X để hiển thị menu 'bí mật' trên máy.
2. Chọn Windows PowerShell (quản trị).
3. Chạy lệnh sau: if ((get-acl C: windows system32 config sam) .Access |? IdentityReference -match 'BUILTIN \ Users' | select -expandproperty filesystemrights | select-string 'Read') {ghi -host 'SAM có thể VULN'} else {write-host 'SAM NOT vuln'}

Nếu 'Sam might VULN' được trả lại, hệ thống sẽ bị ảnh hưởng bởi lỗ hổng bảo mật (thông qua người dùng Twitter Dray Agha )

Đây là tùy chọn thứ hai để kiểm tra xem hệ thống có dễ bị tấn công tiềm ẩn hay không:

1. Chọn Bắt đầu.
2. Gõ cmd
3. Chọn Command Prompt.
4. Chạy icacls% windir% system32 config sam

Một hệ thống dễ bị tấn công bao gồm dòng BUILTIN Users: (I) (RX) trong đầu ra. Hệ thống không dễ bị tấn công sẽ hiển thị thông báo 'quyền truy cập bị từ chối'.

Giải pháp cho vấn đề bảo mật HiveNightmare

Microsoft đã xuất bản một giải pháp thay thế trên trang web của mình để bảo vệ các thiết bị khỏi bị lợi dụng.

Ghi chú : xóa các bản sao bóng có thể có những ảnh hưởng không lường trước được đối với các ứng dụng sử dụng Bản sao bóng cho các hoạt động của chúng.

Quản trị viên có thể bật kế thừa ACL cho các tệp trong% windir% system32 config theo Microsoft.

1. Chọn Bắt đầu
2. Gõ cmd.
3. Chọn Chạy với tư cách quản trị viên.
4. Xác nhận lời nhắc UAC.
5. Chạy icacls% windir% system32 config *. * / Inherit: e
6. vssadmin xóa bóng / for = c: / Im lặng
7. bóng danh sách vssadmin

Lệnh 5 cho phép tính kế thừa ACL. Lệnh 6 xóa các bản sao bóng tồn tại và Lệnh 7 xác minh rằng tất cả các bản sao bóng đã bị xóa.

Bây giờ bạn : hệ thống của bạn có bị ảnh hưởng không?