En ny alvorlig sikkerhedssårbarhed i Windows 10 er blevet afdækket. Kaldet HiveNightmare, sårbarheden er tildelt CVE-2021-36934 identifikatoren.
HiveNightmare: CVE-2021-36934 Windows 10 Version 1809 (og Nyere) Sårbarhed
Hvilken type sårbarhed er HiveNightmare?
Ifølge Microsofts officielle beskrivelse af emnet, det er en forhøjelse af privilegiefejl forårsaget af en “alt for tilladelig adgangskontrolliste (ACL'er) på flere systemfiler, inklusive SAM (Manager til sikkerhedskonti) database.
Når sårbarheden er udnyttet med succes, angriberen kunne køre vilkårlig kode med SYSTEM-rettigheder. Når dette er opnået, hackeren kunne installere programmer, visning, lave om, eller slette data, eller oprette nye konti med komplette brugerrettigheder.
Der er en betingelse for, at problemet kan udnyttes med succes: angriberen skal være i stand til at udføre vilkårlig kode på et sårbart system.
Hvilke versioner af Windows 10 påvirkes?
I øjeblikket, Microsoft kan “bekræfte, at dette problem påvirker Windows 10 udgave 1809 og nyere operativsystemer. ”
Fejlen CVE-2021-36934 er blevet kaldt HiveNightmare af sikkerhedsforsker Kevin Beaumont, som er en henvisning til det nyligt opdagede PrintNightmare-problem. Hive refererer til det engelske navn på Windows Registry-strukturfiler. "I alt, der er fem filer SYSTEM, SIKKERHED, SAM, STANDARD og SOFTWARE i mappen C:\Windows system32 config. Beaumont havde allerede i går offentliggjort et værktøj til at læse indholdet af Security Access Management (SAM) database,”Forklarede Born's Tech og Windows World-blog.
Mulige løsninger
Microsoft rådgiver påvirket Windows 10 brugere til at begrænse adgangen til indholdet af% windir% system32 config. Dette kan gøres ved at følge disse trin:
1.Åbn kommandoprompt eller Windows PowerShell som administrator.
2.Kør denne kommando: icacls% windir% system32 config *. * / arv:e
En anden mulig løsning er at slette Volume Shadow Copy Service (VSS) øjebliksbilleder. Men, dette kan alvorligt skade genoprettelsesoperationer, såsom evnen til at gendanne data via tredjeparts backup-løsninger.
“Du skal begrænse adgangen og slette skyggekopier for at forhindre udnyttelse af denne sårbarhed,”Siger Microsoft.
Sårbarheden i Print Spooler
Tidligere i denne måned, Microsoft afslørede den såkaldte PrintNightmare-fejl. Udnyttelse af PrintNightmare-sårbarheden kan gøre det muligt for fjernangribere at få fuld kontrol over berørte systemer. Fjernudførelse af kode kunne opnås ved at målrette mod en bruger, der er godkendt til spoolertjenesten.
Berørte Microsoft-produkter inkluderer alle operativsystemer fra Windows 7 Windows 10, og alt fra Server 2008 til server 2019.