HiveNightmare: Testarea vulnerabilității și cum să vă protejați temporar

2021 nu este cel mai bun an pentru ferestre din Securitate. Din când în când apare un nou defect de securitate în sistemul de operare care pune în pericol securitatea tuturor utilizatorilor, defecte care, de altfel, nu sunt rezolvate decât câteva săptămâni mai târziu, când va apărea noul Patch Tuesday. Și, în caz Microsoft a avut puține probleme de securitate ale imprimantelor, acum a fost adăugat un nou defect de securitate dintre cele mai îngrijorătoare: Hivenightmare.

HiveNightmare (numele care a fost atribuit acestei vulnerabilități) este un defect de securitate prezent în toate versiunile de Windows 10 din 1809 și în Windows 11. Datorită acestui defect, orice utilizator, chiar și fără permisiunile administratorului, poate accesa fișierele de sistem critice, precum SAM, SISTEM și SECURITATE . Procedând astfel, acest utilizator ar putea obține cel mai înalt nivel de privilegii în cadrul sistemului de operare Microsoft: SYSTEM. Și, cu acesta, puteți face literalmente orice doriți pe computerul dvs., puteți rula chiar cod aleatoriu în memoria computerului sau puteți schimba programele Windows.

Hivenightmare

Această eroare este foarte asemănătoare cu Sequoia , un bug care a fost lansat în aceeași zi, dar afectează în principal Linux utilizatori.

Microsoft, în acest moment, nu a oferit prea multe informații despre această nouă problemă de securitate care afectează toate Windows-urile sale moderne. Cu toate acestea, datorită cercetătorilor, putem cunoaște un truc pentru a vedea dacă suntem afectați de acest eșec sau, dacă nu, dacă computerul nostru este deja protejat.

Testați dacă Windows este vulnerabil la HiveNightmare

In GitHub putem găsi un script simplu datorită căruia vom putea verifica permisiunile fișierelor SAM, SYSTEM și SECURITY cu câteva PowerShell comenzi. Pentru a face acest lucru, primul lucru pe care trebuie să-l facem este să deschidem o fereastră de consolă avansată Windows, cu permisiuni de administrator (acest lucru este foarte important) și să executăm următoarea comandă:

Invoke-WebRequest -URI https://raw.githubusercontent.com/JumpsecLabs/Guidance-Advice/main/SAM_Permissions/SAM_Permissions_Check.ps1 -OutFile ./SAM_Permissions_Check.ps1 -usebasicparsing

Această comandă ne va permite să descărcăm scriptul de pe PowerShell ” SAM_Permissions_Check.ps1 ”De pe serverele GitHub. Descărcarea durează doar câteva momente, iar la final va trebui pur și simplu să executăm următoarele:

.SAM_Permissions_Check.ps1

Scriptul va fi responsabil de analiza computerului nostru și ne va arăta dacă computerul nostru este vulnerabil (marcarea fișierelor afectate cu roșu) sau dacă suntem protejați (marcarea lor în verde).

Protecție HiveNightmare - 1

O putem testa și de la CMD, dacă nu ne place să folosim PowerShell. Pentru a face acest lucru, trebuie pur și simplu să deschidem o fereastră a consolei Windows și să executăm următoarea comandă în ea:

icacls %windir%/system32/config/sam

Dacă rezultatul arată un mesaj de genul „BUILTINUsers: (I) (RX)”, atunci suntem în pericol. În caz contrar, computerul nostru va fi protejat.

Protecție HiveNightmare - 2

PC-ul dvs. este afectat? Protejeaza-te

Dacă PC-ul dvs. este protejat, atunci nu mai trebuie să vă faceți griji cu privire la nimic. Dimpotrivă, dacă este în pericol, este necesar să ne protejăm dacă nu dorim să continuăm să asumăm riscuri. Pentru a face acest lucru, trebuie să deschidem o fereastră CMD, cu permisiuni de administrator și să executăm următoarele comenzi:

icacls %windir%/system32/config/*.* /inheritance:e vssadmin delete shadows /for=c: /Quiet vssadmin list shadows

Prima comandă activează moștenirea ACL, a doua șterge copiile shadow din sistem, iar a treia verifică dacă nu există într-adevăr copii shadow în sistem.

Acum suntem protejați până când Microsoft corectează definitiv această problemă gravă în Windows.