Soluzione alternativa per la vulnerabilità legata all'acquisizione di privilegi più elevati di Windows 10 e 11 HiveNightmare

Prova Il Nostro Strumento Per Eliminare I Problemi

All'inizio di questa settimana, i ricercatori della sicurezza hanno scoperto una vulnerabilità nelle recenti versioni del sistema operativo Windows di Microsoft che consente agli aggressori di eseguire codice con privilegi di sistema se sfruttato con successo.

Gli elenchi di controllo di accesso (ACL) eccessivamente permissivi su alcuni file di sistema, incluso il database Security Accounts Manager (SAM), stanno causando il problema.

Un articolo sul CERT fornisce ulteriori informazioni. In base ad esso, il gruppo BUILTIN/Users riceve l'autorizzazione RX (Read Execute) per i file in %windir%system32config.

Se nell'unità di sistema sono disponibili copie shadow del volume (VSS), gli utenti senza privilegi possono sfruttare la vulnerabilità per attacchi che possono includere l'esecuzione di programmi, l'eliminazione di dati, la creazione di nuovi account, l'estrazione di hash delle password dell'account, ottenere chiavi del computer DPAPI e altro ancora.

Secondo CERT , le copie shadow VSS vengono create automaticamente su unità di sistema con 128 Gigabyte o più di spazio di archiviazione quando vengono installati gli aggiornamenti di Windows oi file MSI.

Gli amministratori possono eseguire ombre della lista vssadmin da un prompt dei comandi con privilegi elevati per verificare se sono disponibili copie shadow.

Microsoft ha riconosciuto il problema in CVE-2021-36934 , ha valutato la gravità della vulnerabilità come importante, il secondo livello di gravità più alto e ha confermato che le installazioni di Windows 10 versione 1809, 1909, 2004, 20H2 e 21H1, Windows 11 e Windows Server sono interessate dalla vulnerabilità.

Verifica se il tuo sistema potrebbe essere interessato da HiveNightmare

sam vulnerabile check

  1. Utilizzare la scorciatoia da tastiera Windows-X per visualizzare il menu 'segreto' sulla macchina.
  2. Seleziona Windows PowerShell (amministratore).
  3. Eseguire il comando seguente: if ((get-acl C:windowssystem32configsam).Access | ? IdentityReference -match 'BUILTIN\Users' | select -expandproperty filesystemrights | select-string 'Read'){write -host 'SAM forse VULN' }else { write-host 'SAM NOT vuln'}

Se viene restituito 'Sam forse VULN', il sistema è interessato dalla vulnerabilità (tramite utente Twitter Dray Agha )

vulnerabilità windows-hivenightmare

Ecco una seconda opzione per verificare se il sistema è vulnerabile a potenziali attacchi:

  1. Seleziona Avvia.
  2. Digita cmd
  3. Seleziona Prompt dei comandi.
  4. Esegui icacls %windir%system32configsam

Un sistema vulnerabile include la riga BUILTINUsers:(I)(RX) nell'output. Il sistema non vulnerabile visualizzerà un messaggio 'accesso negato'.

Soluzione alternativa per il problema di sicurezza di HiveNightmare

Microsoft ha pubblicato una soluzione alternativa sul proprio sito Web per proteggere i dispositivi da potenziali exploit.

Nota Nota: l'eliminazione delle copie replicate potrebbe avere effetti imprevisti sulle applicazioni che utilizzano le copie replicate per le proprie operazioni.

Gli amministratori possono abilitare l'ereditarietà ACL per i file in %windir%system32config secondo Microsoft.

  1. Seleziona Avvia
  2. Digitare cmd.
  3. Seleziona Esegui come amministratore.
  4. Conferma il prompt UAC.
  5. Esegui icacls %windir%system32config*.* /ereditarietà:e
  6. vssadmin elimina le ombre /per=c: /Quiet
  7. ombre dell'elenco vssadmin

Il comando 5 abilita l'interereditarietà ACL. Il comando 6 elimina le copie replicate esistenti e il comando 7 verifica che tutte le copie replicate siano state eliminate.

Ora tu : il tuo sistema è interessato?