الحل البديل لنظامي التشغيل Windows 10 و 11 HiveNightmare Windows زيادة ثغرة أمنية في الامتياز

جرب أداة القضاء على المشاكل

في وقت سابق من هذا الأسبوع ، اكتشف باحثون أمنيون ثغرة أمنية في الإصدارات الأخيرة من نظام تشغيل Microsoft Windows الذي يسمح للمهاجمين بتشغيل تعليمات برمجية بامتيازات النظام إذا تم استغلالها بنجاح.

تتسبب قوائم التحكم بالوصول (ACL) شديدة التراخي في بعض ملفات النظام ، بما في ذلك قاعدة بيانات إدارة حسابات الأمان (SAM) ، في حدوث المشكلة.

توفر مقالة عن CERT معلومات إضافية. وفقًا لذلك ، يتم منح مجموعة BUILTIN / Users إذن RX (تنفيذ القراءة) للملفات الموجودة في٪ windir٪ system32 config.

إذا كانت نُسخ ظل وحدة التخزين (VSS) متوفرة على محرك أقراص النظام ، فقد يستغل المستخدمون غير المتميزين الثغرة الأمنية للهجمات التي قد تشمل البرامج قيد التشغيل وحذف البيانات وإنشاء حسابات جديدة واستخراج تجزئات كلمة مرور الحساب والحصول على مفاتيح الكمبيوتر DPAPI والمزيد.

وفق CERT ، يتم إنشاء النسخ الاحتياطية من VSS تلقائيًا على محركات أقراص النظام بسعة 128 جيجا بايت أو مساحة تخزين أكبر عند تثبيت تحديثات Windows أو ملفات MSI.

يجوز للمسؤولين تشغيل الظلال قائمة vssadmin من موجه أوامر غير مقيد للتحقق من توفر النسخ الاحتياطية.

أقرت Microsoft بالمشكلة في CVE-2021-36934 ، وصنف مدى خطورة الثغرة الأمنية على أنها مهمة ، وهو ثاني أعلى تصنيف شدة ، وأكد أن إصدارات Windows 10 1809 و 1909 و 2004 و 20 H2 و 21 H1 و Windows 11 و Windows Server تتأثر بالثغرة الأمنية.

اختبر ما إذا كان نظامك قد يتأثر بـ HiveNightmare

الاختيار سام عرضة للخطر

  1. استخدم اختصار لوحة المفاتيح Windows-X لعرض القائمة 'السرية' على الجهاز.
  2. حدد Windows PowerShell (المسؤول).
  3. قم بتشغيل الأمر التالي: if ((get-acl C: windows system32 config sam). Access |؟ IdentityReference -match 'BUILTIN \ Users' | select -expandproperty filesystemrights | select-string 'Read') {write -host 'SAM might VULN'} وإلا {write-host 'SAM NOT vuln'}

إذا تم إرجاع 'Sam ربما VULN' ، يتأثر النظام بالثغرة الأمنية (عبر مستخدم Twitter دراي آغا )

windows-hivenmare الضعف

إليك خيارًا ثانيًا للتحقق مما إذا كان النظام عرضة للهجمات المحتملة:

  1. حدد ابدأ.
  2. اكتب cmd
  3. حدد موجه الأوامر.
  4. قم بتشغيل icacls٪ windir٪ system32 config sam

يتضمن النظام الضعيف الخط BUILTIN Users: (I) (RX) في الإخراج. سيعرض النظام غير المعرض للخطر رسالة 'تم رفض الوصول'.

الحل البديل لمشكلة أمان HiveNightmare

نشرت Microsoft حلًا بديلًا على موقعها على الويب لحماية الأجهزة من عمليات الاستغلال المحتملة.

ملحوظة : قد يكون لحذف النسخ الاحتياطية تأثيرات غير متوقعة على التطبيقات التي تستخدم Shadow Copies لعملياتها.

يمكن للمسؤولين تمكين وراثة ACL للملفات الموجودة في٪ windir٪ system32 config وفقًا لـ Microsoft.

  1. حدد ابدأ
  2. اكتب cmd.
  3. اختر تشغيل كمسؤول.
  4. قم بتأكيد موجه UAC.
  5. قم بتشغيل icacls٪ windir٪ system32 config *. * / وراثة: e
  6. vssadmin حذف الظلال / لـ = c: / Quiet
  7. الظلال قائمة vssadmin

الأمر 5 يمكّن تراث ACL. يحذف الأمر 6 النسخ الاحتياطية الموجودة ويتحقق الأمر 7 من حذف جميع النسخ الاحتياطية.

الآن أنت : هل يتأثر نظامك؟