2021 er ikke det beste året for Windows sikkerhet. Så ofte dukker det opp en ny sikkerhetsfeil i operativsystemet som setter sikkerheten til alle brukere i fare, feil som forresten ikke er løst før flere uker senere, når den nye Patch Tuesday treffer. Og i tilfelle Microsoft hadde lite med sikkerhetsproblemene til skriverne, nå har en ny sikkerhetsfeil av de mest bekymringsfulle blitt lagt til: Hivenightmare.
HiveNightmare (navn som er tildelt dette sikkerhetsproblemet) er en sikkerhetsfeil i alle versjoner av Windows 10 fra 1809, og i Windows 11. Takket være denne feilen kan enhver bruker, selv uten administratortillatelser, få tilgang til kritiske systemfiler, som for eksempel SAM, SYSTEM og SIKKERHET . Ved å gjøre dette kan denne brukeren oppnå det høyeste nivået av privilegier i Microsofts operativsystem: SYSTEM. Og med det kan du bokstavelig talt gjøre hva du vil på din PC, til og med kjøre tilfeldig kode i PC -minnet eller endre Windows -programmer.
Denne feilen er veldig lik Sequoia , en feil som ble utgitt samme dag, men hovedsakelig påvirker Linux brukere.
Microsoft har for øyeblikket ikke gitt mye informasjon om dette nye sikkerhetsproblemet som påvirker alle dets moderne Windows. Takket være forskerne kan vi imidlertid vite et triks for å se om vi er påvirket av denne feilen, eller hvis ikke, om PC -en vår allerede er beskyttet.
Test om Windows er sårbart for HiveNightmare
In GitHub vi kan finne et enkelt skript som gjør at vi kan kontrollere tillatelsene til SAM-, SYSTEM- og SECURITY -filene med et par PowerShell kommandoer. For å gjøre dette er det første vi må gjøre å åpne et avansert Windows -konsollvindu med administratorrettigheter (dette er veldig viktig) og utføre følgende kommando:
Invoke-WebRequest -URI https://raw.githubusercontent.com/JumpsecLabs/Guidance-Advice/main/SAM_Permissions/SAM_Permissions_Check.ps1 -OutFile ./SAM_Permissions_Check.ps1 -usebasicparsing
Denne kommandoen lar oss laste ned skriptet fra PowerShell ” SAM_Permissions_Check.ps1 ”Fra GitHub -serverne. Nedlastingen tar bare noen få øyeblikk, og til slutt må vi bare utføre følgende:
.SAM_Permissions_Check.ps1
Skriptet har ansvaret for å analysere vår PC og viser oss om PC -en vår er sårbar (markerer de berørte filene med rødt) eller om vi er beskyttet (markerer dem med grønt).
Vi kan også teste det fra CMD, hvis vi ikke liker å bruke PowerShell. For å gjøre dette må vi bare åpne et Windows -konsollvindu og utføre følgende kommando i det:
icacls %windir%/system32/config/sam
Hvis utgangen viser en melding som "BUILTINUsers: (I) (RX)", er vi i fare. Ellers vil vår PC bli beskyttet.
Er PC -en din påvirket? Beskytt deg selv
Hvis din PC er beskyttet, trenger du ikke lenger å bekymre deg for noe. Tvert imot, hvis det er i fare, er det nødvendig å beskytte oss selv hvis vi ikke ønsker å fortsette å ta risiko. For å gjøre dette er det vi må gjøre å åpne et CMD -vindu med administratorrettigheter og utføre følgende kommandoer i det:
icacls %windir%/system32/config/*.* /inheritance:e vssadmin delete shadows /for=c: /Quiet vssadmin list shadows
Den første kommandoen aktiverer ACL -arv, den andre fjerner skyggekopiene fra systemet, og den tredje kontrollerer at det faktisk ikke er noen skyggekopier på systemet.
Nå er vi beskyttet til Microsoft definitivt korrigerer dette alvorlige problemet i Windows.
