Solusi untuk Windows 10 dan 11 HiveNightmare Windows Elevation of Privilege Vulnerability

• Kategori: Windows 10

Coba Instrumen Kami Untuk Menghilangkan Masalah

Pilih Sistem Operasi Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Pilih Program Proyeksi (Opsional) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Jelaskan Masalah Anda

Dapatkan Jawaban

Kirimkan Saya Melalui Email Tunjukkan Di Situs

Awal pekan ini, peneliti keamanan menemukan kerentanan dalam versi terbaru sistem operasi Microsoft Windows yang memungkinkan penyerang menjalankan kode dengan hak istimewa sistem jika berhasil dieksploitasi.

Daftar Kontrol Akses (ACL) yang terlalu permisif pada beberapa file sistem, termasuk database Manajer Akun Keamanan (SAM), menyebabkan masalah.

Sebuah artikel tentang CERT memberikan informasi tambahan. Menurut itu, grup BUILTIN/Pengguna diberikan izin RX (Baca Jalankan) ke file di %windir%system32config.

Jika Volume Shadow Copies (VSS) tersedia di drive sistem, pengguna yang tidak memiliki hak dapat mengeksploitasi kerentanan untuk serangan yang mungkin termasuk menjalankan program, menghapus data, membuat akun baru, mengekstrak hash kata sandi akun, mendapatkan kunci komputer DPAPI, dan banyak lagi.

Berdasarkan CERT , salinan bayangan VSS dibuat secara otomatis pada drive sistem dengan 128 Gigabytes atau lebih banyak ruang penyimpanan saat pembaruan Windows atau file MSI diinstal.

Administrator dapat menjalankan vssadmin daftar bayangan dari prompt perintah yang ditinggikan untuk memeriksa apakah salinan bayangan tersedia.

Microsoft mengakui masalah ini di CVE-2021-36934 , menilai tingkat keparahan kerentanan sebagai hal yang penting, peringkat keparahan tertinggi kedua, dan mengonfirmasi bahwa penginstalan Windows 10 versi 1809, 1909, 2004, 20H2 dan 21H1, Windows 11, dan Windows Server dipengaruhi oleh kerentanan.

Uji apakah sistem Anda mungkin terpengaruh oleh HiveNightmare

1. Gunakan pintasan keyboard Windows-X untuk menampilkan menu 'rahasia' pada mesin.
2. Pilih Windows PowerShell (admin).
3. Jalankan perintah berikut: if ((get-acl C:windowssystem32configsam).Access | ? IdentityReference -match 'BUILTIN\Users' | pilih -expandproperty filesystemrights | pilih-string 'Baca'){write -host 'SAM mungkin VULN' }else { write-host 'SAM NOT vuln'}

Jika 'Sam mungkin VULN' dikembalikan, sistem dipengaruhi oleh kerentanan (melalui pengguna Twitter Dray Agha )

Berikut adalah opsi kedua untuk memeriksa apakah sistem rentan terhadap potensi serangan:

1. Pilih Mulai.
2. Ketik cmd
3. Pilih Prompt Perintah.
4. Jalankan icacls %windir%system32configsam

Sistem yang rentan menyertakan baris BUILTINUsers:(I)(RX) di output. Sistem yang tidak rentan akan menampilkan pesan 'akses ditolak'.

Solusi untuk masalah keamanan HiveNightmare

Microsoft menerbitkan solusi di situs webnya untuk melindungi perangkat dari potensi eksploitasi.

Catatan : menghapus salinan bayangan mungkin memiliki efek tak terduga pada aplikasi yang menggunakan Salinan Bayangan untuk operasinya.

Administrator dapat mengaktifkan pewarisan ACL untuk file di %windir%system32config menurut Microsoft.

1. Pilih Mulai
2. Ketik cmd.
3. Pilih Jalankan sebagai administrator.
4. Konfirmasikan permintaan UAC.
5. Jalankan icacls %windir%system32config*.* /inheritance:e
6. vssadmin menghapus bayangan /for=c: /Tenang
7. vssadmin daftar bayangan

Perintah 5 memungkinkan pewarisan ACL. Perintah 6 menghapus salinan bayangan yang ada dan Perintah 7 memverifikasi bahwa semua salinan bayangan telah dihapus.

Kamu sekarang : apakah sistem Anda terpengaruh?