วิธีแก้ปัญหาสำหรับ Windows 10 และ 11 HiveNightmare Windows Elevation of Privilege Vulnerability
- หมวดหมู่: Windows 10
เมื่อต้นสัปดาห์นี้ นักวิจัยด้านความปลอดภัยได้ค้นพบช่องโหว่ในระบบปฏิบัติการ Windows ของ Microsoft เวอร์ชันล่าสุด ซึ่งช่วยให้ผู้โจมตีสามารถเรียกใช้โค้ดที่มีสิทธิ์ของระบบได้ หากถูกโจมตีสำเร็จ
รายการควบคุมการเข้าถึง (ACL) ที่อนุญาตมากเกินไปในไฟล์ระบบบางไฟล์ รวมถึงฐานข้อมูล Security Accounts Manager (SAM) ทำให้เกิดปัญหา
บทความเกี่ยวกับ CERT ให้ข้อมูลเพิ่มเติม ตามนั้น กลุ่ม BUILTIN/Users ได้รับอนุญาตจาก RX (Read Execute) ไปยังไฟล์ใน %windir%system32config.
หากมี Volume Shadow Copies (VSS) อยู่ในไดรฟ์ระบบ ผู้ใช้ที่ไม่มีสิทธิ์อาจใช้ประโยชน์จากช่องโหว่สำหรับการโจมตีที่อาจรวมถึงการเรียกใช้โปรแกรม การลบข้อมูล การสร้างบัญชีใหม่ การแยกแฮชรหัสผ่านของบัญชี รับคีย์คอมพิวเตอร์ DPAPI และอื่นๆ
ตาม CERT , VSS shadow copy จะถูกสร้างขึ้นโดยอัตโนมัติบนไดรฟ์ระบบที่มีพื้นที่เก็บข้อมูล 128 กิกะไบต์ขึ้นไปเมื่อติดตั้งการอัปเดต Windows หรือไฟล์ MSI
ผู้ดูแลระบบอาจเรียกใช้ vssadmin รายการเงา จากพรอมต์คำสั่งที่ยกระดับเพื่อตรวจสอบว่ามีสำเนาเงาหรือไม่
Microsoft รับทราบปัญหาใน CVE-2021-36934 จัดอันดับความรุนแรงของช่องโหว่ว่าสำคัญ ระดับความรุนแรงสูงสุดเป็นอันดับสอง และยืนยันว่าการติดตั้ง Windows 10 เวอร์ชัน 1809, 1909, 2004, 20H2 และ 21H1, Windows 11 และ Windows Server ได้รับผลกระทบจากช่องโหว่ดังกล่าว
ทดสอบว่าระบบของคุณอาจได้รับผลกระทบจาก HiveNightmare . หรือไม่
- ใช้แป้นพิมพ์ลัด Windows-X เพื่อแสดงเมนู 'ความลับ' บนเครื่อง
- เลือก Windows PowerShell (ผู้ดูแลระบบ)
- เรียกใช้คำสั่งต่อไปนี้: if ((get-acl C:windowssystem32configsam).Access | ? IdentityReference -match 'BUILTIN\Users' | select -expandproperty filesystemrights | select-string 'Read'){write -host 'SAM อาจ VULN' } อื่น { เขียนโฮสต์ 'SAM NOT vuln'}
หากส่งคืน 'Sam อาจ VULN' ระบบได้รับผลกระทบจากช่องโหว่ (ผ่านผู้ใช้ Twitter Dray Agha )
นี่คือตัวเลือกที่สองเพื่อตรวจสอบว่าระบบมีความเสี่ยงต่อการโจมตีที่อาจเกิดขึ้นหรือไม่:
- เลือกเริ่ม
- พิมพ์ cmd
- เลือก พรอมต์คำสั่ง
- เรียกใช้ icacls %windir%system32configsam
ระบบที่มีช่องโหว่รวมถึงบรรทัด BUILTINUsers:(I)(RX) ในเอาต์พุต ระบบที่ไม่มีช่องโหว่จะแสดงข้อความ 'การเข้าถึงถูกปฏิเสธ'
วิธีแก้ปัญหาด้านความปลอดภัย HiveNightmare
Microsoft เผยแพร่วิธีแก้ปัญหาบนเว็บไซต์เพื่อปกป้องอุปกรณ์จากการถูกโจมตีที่อาจเกิดขึ้น
บันทึก : การลบเงาสำเนาอาจมีผลกระทบที่คาดไม่ถึงกับแอปพลิเคชันที่ใช้ Shadow Copies ในการดำเนินการ
ผู้ดูแลระบบอาจเปิดใช้งานการสืบทอด ACL สำหรับไฟล์ใน %windir%system32config ตาม Microsoft
- เลือกเริ่ม
- พิมพ์ cmd
- เลือกเรียกใช้ในฐานะผู้ดูแลระบบ
- ยืนยันข้อความแจ้ง UAC
- เรียกใช้ icacls %windir%system32config*.* /inheritance:e
- vssadmin ลบเงา /for=c: /Quiet
- vssadmin รายการเงา
คำสั่ง 5 เปิดใช้งานการสืบทอด ACL คำสั่ง 6 ลบสำเนาเงาที่มีอยู่ และคำสั่ง 7 ตรวจสอบว่าสำเนาเงาทั้งหมดถูกลบแล้ว
ตอนนี้คุณ : ระบบของคุณได้รับผลกระทบหรือไม่?