Solución alternativa para la vulnerabilidad de elevación de privilegios de Windows 10 y 11 HiveNightmare

Pruebe Nuestro Instrumento Para Eliminar Los Problemas

A principios de esta semana, los investigadores de seguridad descubrieron una vulnerabilidad en versiones recientes del sistema operativo Windows de Microsoft que permite a los atacantes ejecutar código con privilegios de sistema si se explota con éxito.

Las listas de control de acceso (ACL) excesivamente permisivas en algunos archivos del sistema, incluida la base de datos del administrador de cuentas de seguridad (SAM), están causando el problema.

Un artículo sobre CERT proporciona información adicional. Según él, el grupo BUILTIN / Users tiene permiso RX (Leer Ejecutar) para los archivos en% windir% system32 config.

Si hay instantáneas de volumen (VSS) disponibles en la unidad del sistema, los usuarios sin privilegios pueden aprovechar la vulnerabilidad para ataques que pueden incluir ejecutar programas, eliminar datos, crear nuevas cuentas, extraer hashes de contraseñas de cuentas, obtener claves de computadora DPAPI y más.

De acuerdo a CERT , Las instantáneas de VSS se crean automáticamente en unidades del sistema con 128 Gigabytes o más de espacio de almacenamiento cuando se instalan actualizaciones de Windows o archivos MSI.

Los administradores pueden ejecutar sombras de la lista de vssadmin desde un símbolo del sistema elevado para comprobar si hay instantáneas disponibles.

Microsoft reconoció el problema en CVE-2021-36934 , calificó la gravedad de la vulnerabilidad como importante, la segunda clasificación de gravedad más alta, y confirmó que las instalaciones de Windows 10 versión 1809, 1909, 2004, 20H2 y 21H1, Windows 11 y Windows Server se ven afectadas por la vulnerabilidad.

Pruebe si su sistema puede verse afectado por HiveNightmare

sam cheque vulnerable

  1. Utilice el atajo de teclado Windows-X para mostrar el menú 'secreto' en la máquina.
  2. Seleccione Windows PowerShell (administrador).
  3. Ejecute el siguiente comando: if ((get-acl C: windows system32 config sam) .Access |? IdentityReference -match 'BUILTIN \ Users' | select -expandproperty filesystemrights | select-string 'Read') {write -host 'SAM quizás VULN'} else {write-host 'SAM NOT vuln'}

Si se devuelve 'Sam tal vez VULN', el sistema se ve afectado por la vulnerabilidad (a través del usuario de Twitter Dray Agha )

vulnerabilidad de pesadilla en windows-hiven

Aquí hay una segunda opción para verificar si el sistema es vulnerable a posibles ataques:

  1. Seleccione Iniciar.
  2. Escriba cmd
  3. Seleccione Símbolo del sistema.
  4. Ejecute icacls% windir% system32 config sam

Un sistema vulnerable incluye la línea BUILTIN Users: (I) (RX) en la salida. El sistema no vulnerable mostrará un mensaje de 'acceso denegado'.

Solución alternativa para el problema de seguridad de HiveNightmare

Microsoft publicó una solución alternativa en su sitio web para proteger los dispositivos contra posibles vulnerabilidades.

Nota : la eliminación de instantáneas puede tener efectos imprevistos en las aplicaciones que utilizan instantáneas para sus operaciones.

Los administradores pueden habilitar la herencia de ACL para archivos en% windir% system32 config según Microsoft.

  1. Seleccione Iniciar
  2. Escriba cmd.
  3. Elija Ejecutar como administrador.
  4. Confirme el mensaje de UAC.
  5. Ejecute icacls% windir% system32 config *. * / Heritage: e
  6. vssadmin eliminar sombras / for = c: / Quiet
  7. sombras de la lista de vssadmin

El comando 5 habilita la interherencia de ACL. Command 6 elimina las instantáneas que existen y Command 7 verifica que se hayan eliminado todas las instantáneas.

Ahora tu : ¿se ve afectado su sistema?