วิธีแก้ปัญหาสำหรับ Windows 10 และ 11 HiveNightmare Windows Elevation of Privilege Vulnerability

ลองใช้เครื่องมือของเราเพื่อกำจัดปัญหา

เมื่อต้นสัปดาห์นี้ นักวิจัยด้านความปลอดภัยได้ค้นพบช่องโหว่ในระบบปฏิบัติการ Windows ของ Microsoft เวอร์ชันล่าสุด ซึ่งช่วยให้ผู้โจมตีสามารถเรียกใช้โค้ดที่มีสิทธิ์ของระบบได้ หากถูกโจมตีสำเร็จ

รายการควบคุมการเข้าถึง (ACL) ที่อนุญาตมากเกินไปในไฟล์ระบบบางไฟล์ รวมถึงฐานข้อมูล Security Accounts Manager (SAM) ทำให้เกิดปัญหา

บทความเกี่ยวกับ CERT ให้ข้อมูลเพิ่มเติม ตามนั้น กลุ่ม BUILTIN/Users ได้รับอนุญาตจาก RX (Read Execute) ไปยังไฟล์ใน %windir%system32config.

หากมี Volume Shadow Copies (VSS) อยู่ในไดรฟ์ระบบ ผู้ใช้ที่ไม่มีสิทธิ์อาจใช้ประโยชน์จากช่องโหว่สำหรับการโจมตีที่อาจรวมถึงการเรียกใช้โปรแกรม การลบข้อมูล การสร้างบัญชีใหม่ การแยกแฮชรหัสผ่านของบัญชี รับคีย์คอมพิวเตอร์ DPAPI และอื่นๆ

ตาม CERT , VSS shadow copy จะถูกสร้างขึ้นโดยอัตโนมัติบนไดรฟ์ระบบที่มีพื้นที่เก็บข้อมูล 128 กิกะไบต์ขึ้นไปเมื่อติดตั้งการอัปเดต Windows หรือไฟล์ MSI

ผู้ดูแลระบบอาจเรียกใช้ vssadmin รายการเงา จากพรอมต์คำสั่งที่ยกระดับเพื่อตรวจสอบว่ามีสำเนาเงาหรือไม่

Microsoft รับทราบปัญหาใน CVE-2021-36934 จัดอันดับความรุนแรงของช่องโหว่ว่าสำคัญ ระดับความรุนแรงสูงสุดเป็นอันดับสอง และยืนยันว่าการติดตั้ง Windows 10 เวอร์ชัน 1809, 1909, 2004, 20H2 และ 21H1, Windows 11 และ Windows Server ได้รับผลกระทบจากช่องโหว่ดังกล่าว

ทดสอบว่าระบบของคุณอาจได้รับผลกระทบจาก HiveNightmare . หรือไม่

แซมเสี่ยงเช็ค

  1. ใช้แป้นพิมพ์ลัด Windows-X เพื่อแสดงเมนู 'ความลับ' บนเครื่อง
  2. เลือก Windows PowerShell (ผู้ดูแลระบบ)
  3. เรียกใช้คำสั่งต่อไปนี้: if ((get-acl C:windowssystem32configsam).Access | ? IdentityReference -match 'BUILTIN\Users' | select -expandproperty filesystemrights | select-string 'Read'){write -host 'SAM อาจ VULN' } อื่น { เขียนโฮสต์ 'SAM NOT vuln'}

หากส่งคืน 'Sam อาจ VULN' ระบบได้รับผลกระทบจากช่องโหว่ (ผ่านผู้ใช้ Twitter Dray Agha )

ช่องโหว่ windows-hivenightmare

นี่คือตัวเลือกที่สองเพื่อตรวจสอบว่าระบบมีความเสี่ยงต่อการโจมตีที่อาจเกิดขึ้นหรือไม่:

  1. เลือกเริ่ม
  2. พิมพ์ cmd
  3. เลือก พรอมต์คำสั่ง
  4. เรียกใช้ icacls %windir%system32configsam

ระบบที่มีช่องโหว่รวมถึงบรรทัด BUILTINUsers:(I)(RX) ในเอาต์พุต ระบบที่ไม่มีช่องโหว่จะแสดงข้อความ 'การเข้าถึงถูกปฏิเสธ'

วิธีแก้ปัญหาด้านความปลอดภัย HiveNightmare

Microsoft เผยแพร่วิธีแก้ปัญหาบนเว็บไซต์เพื่อปกป้องอุปกรณ์จากการถูกโจมตีที่อาจเกิดขึ้น

บันทึก : การลบเงาสำเนาอาจมีผลกระทบที่คาดไม่ถึงกับแอปพลิเคชันที่ใช้ Shadow Copies ในการดำเนินการ

ผู้ดูแลระบบอาจเปิดใช้งานการสืบทอด ACL สำหรับไฟล์ใน %windir%system32config ตาม Microsoft

  1. เลือกเริ่ม
  2. พิมพ์ cmd
  3. เลือกเรียกใช้ในฐานะผู้ดูแลระบบ
  4. ยืนยันข้อความแจ้ง UAC
  5. เรียกใช้ icacls %windir%system32config*.* /inheritance:e
  6. vssadmin ลบเงา /for=c: /Quiet
  7. vssadmin รายการเงา

คำสั่ง 5 เปิดใช้งานการสืบทอด ACL คำสั่ง 6 ลบสำเนาเงาที่มีอยู่ และคำสั่ง 7 ตรวจสอบว่าสำเนาเงาทั้งหมดถูกลบแล้ว

ตอนนี้คุณ : ระบบของคุณได้รับผลกระทบหรือไม่?