Solution de contournement pour Windows 10 et 11 HiveNightmare Windows Elevation of Privilege Vulnérabilité

Essayez Notre Instrument Pour Éliminer Les Problèmes

Plus tôt cette semaine, des chercheurs en sécurité ont découvert une vulnérabilité dans les versions récentes du système d'exploitation Windows de Microsoft qui permet aux attaquants d'exécuter du code avec des privilèges système s'il est exploité avec succès.

Des listes de contrôle d'accès (ACL) trop permissives sur certains fichiers système, y compris la base de données du gestionnaire de comptes de sécurité (SAM), sont à l'origine du problème.

Un article sur le CERT fournit des informations supplémentaires. Selon elle, le groupe BUILTIN/Users reçoit l'autorisation RX (Read Execute) pour les fichiers dans %windir%system32config.

Si des clichés instantanés de volume (VSS) sont disponibles sur le lecteur système, les utilisateurs non privilégiés peuvent exploiter la vulnérabilité pour des attaques pouvant inclure l'exécution de programmes, la suppression de données, la création de nouveaux comptes, l'extraction de hachages de mot de passe de compte, l'obtention de clés d'ordinateur DPAPI, etc.

Selon CERT , les clichés instantanés VSS sont créés automatiquement sur les lecteurs système avec 128 Go ou plus d'espace de stockage lorsque les mises à jour Windows ou les fichiers MSI sont installés.

Les administrateurs peuvent exécuter ombres de la liste vssadmin à partir d'une invite de commandes élevée pour vérifier si des clichés instantanés sont disponibles.

Microsoft a reconnu le problème dans CVE-2021-36934 , a classé la gravité de la vulnérabilité comme importante, la deuxième note de gravité la plus élevée, et a confirmé que les installations de Windows 10 versions 1809, 1909, 2004, 20H2 et 21H1, Windows 11 et Windows Server sont affectées par la vulnérabilité.

Testez si votre système peut être affecté par HiveNightmare

sam vulnérable vérifier

  1. Utilisez le raccourci clavier Windows-X pour afficher le menu 'secret' sur la machine.
  2. Sélectionnez Windows PowerShell (administrateur).
  3. Exécutez la commande suivante : if ((get-acl C:windowssystem32configsam).Access | ? IdentityReference -match 'BUILTIN\Users' | select -expandproperty filesystemrights | select-string 'Read'){write -host 'SAM peut-être VULN' }else { write-host 'SAM NOT vuln'}

Si « Sam peut-être VULN » est renvoyé, le système est affecté par la vulnérabilité (via l'utilisateur Twitter Dray Agha )

vulnérabilité de windows-hivenightmare

Voici une deuxième option pour vérifier si le système est vulnérable aux attaques potentielles :

  1. Sélectionnez Démarrer.
  2. Tapez cmd
  3. Sélectionnez Invite de commandes.
  4. Exécutez icacls %windir%system32configsam

Un système vulnérable inclut la ligne BUILTINUsers:(I)(RX) dans la sortie. Un système non vulnérable affichera un message « accès refusé ».

Solution de contournement pour le problème de sécurité de HiveNightmare

Microsoft a publié une solution de contournement sur son site Web pour protéger les appareils contre les exploits potentiels.

Noter : la suppression des clichés instantanés peut avoir des effets imprévus sur les applications qui utilisent des clichés instantanés pour leurs opérations.

Les administrateurs peuvent activer l'héritage ACL pour les fichiers dans %windir%system32config selon Microsoft.

  1. Sélectionnez Démarrer
  2. Tapez cmd.
  3. Sélectionnez Exécuter en tant qu'administrateur.
  4. Confirmez l'invite UAC.
  5. Exécutez icacls %windir%system32config*.* /inheritance:e
  6. vssadmin supprimer les ombres /for=c: /Quiet
  7. ombres de la liste vssadmin

La commande 5 active l'héritage d'ACL. La commande 6 supprime les clichés instantanés existants et la commande 7 vérifie que tous les clichés instantanés ont été supprimés.

Maintenant, c'est à votre tour : votre système est-il affecté ?