Windows 10 和 11 HiveNightmare Windows 特权提升漏洞的解决方法

尝试消除问题的工具

本周早些时候,安全研究人员在最新版本的微软 Windows 操作系统中发现了一个漏洞,如果成功利用该漏洞,攻击者可以使用系统权限运行代码。

某些系统文件(包括安全帐户管理器 (SAM) 数据库)上过于宽松的访问控制列表 (ACL) 会导致出现此问题。

一篇关于 CERT 的文章提供了更多信息。根据它,BUILTIN/Users 组被授予对 %windir%system32config 中文件的 RX 权限(读取执行)。

如果系统驱动器上存在卷影副本 (VSS),则非特权用户可能会利用该漏洞进行攻击,包括运行程序、删除数据、创建新帐户、提取帐户密码哈希、获取 DPAPI 计算机密钥等。

根据 认证中心 , 当安装了 Windows 更新或 MSI 文件时,VSS 卷影副本会在具有 128 GB 或更多存储空间的系统驱动器上自动创建。

管理员可以运行 vssadmin 列表阴影 从提升的命令提示符检查卷影副本是否可用。

微软承认了这个问题 CVE-2021-36934 ,将漏洞的严重性评为重要,第二高的严重性等级,并确认 Windows 10 版本 1809、1909、2004、20H2 和 21H1、Windows 11 和 Windows Server 安装受此漏洞影响。

测试您的系统是否可能受到 HiveNightmare 的影响

山姆脆弱检查

  1. 使用键盘快捷键 Windows-X 在机器上显示“秘密”菜单。
  2. 选择 Windows PowerShell(管理员)。
  3. 运行以下命令: if ((get-acl C:windowssystem32configsam).Access | ? IdentityReference -match 'BUILTIN\Users' | select -expandproperty filesystemrights | select-string 'Read'){write -host 'SAM 可能是 VULN' }else { write-host 'SAM NOT vuln'}

如果返回“Sam 可能 VULN”,则系统受漏洞影响(通过 Twitter 用户 德雷阿加 )

windows-hivenightmare 漏洞

这是检查系统是否容易受到潜在攻击的第二个选项:

  1. 选择开始。
  2. 输入 cmd
  3. 选择命令提示符。
  4. 运行 icacls %windir%system32configsam

一个易受攻击的系统在输出中包含 BUILTINUsers:(I)(RX) 行。非易受攻击的系统将显示“访问被拒绝”消息。

HiveNightmare 安全问题的解决方法

微软在其网站上发布了一个解决方法,以保护设备免受潜在攻击。

笔记 :删除卷影副本可能会对使用卷影副本进行操作的应用程序产生不可预见的影响。

根据微软的说法,管理员可以为 %windir%system32config 中的文件启用 ACL 继承。

  1. 选择开始
  2. 键入 cmd。
  3. 选择以管理员身份运行。
  4. 确认 UAC 提示。
  5. 运行 icacls %windir%system32config*.* /inheritance:e
  6. vssadmin 删除阴影 /for=c: /Quiet
  7. vssadmin 列表阴影

命令 5 启用 ACL 继承。命令 6 删除存在的卷影副本,命令 7 验证是否已删除所有卷影副本。

现在轮到你 : 你的系统有影响吗?