Una nuova grave vulnerabilità di sicurezza in Windows 10 è stato scoperto. Chiamato HiveNightmare, alla vulnerabilità è stato assegnato l'identificatore CVE-2021-36934.
AlveareNightmare: CVE-2021-36934 Finestre 10 Versione 1809 (e più recente) Vulnerabilità
Che tipo di vulnerabilità è HiveNightmare?
Secondo La descrizione ufficiale di Microsoft del problema, si tratta di un difetto di elevazione dei privilegi causato da "elenchi di controllo degli accessi eccessivamente permissivi" (ACL) su più file di sistema, compreso il SAM (Responsabile degli account di sicurezza) Banca dati.
Una volta che la vulnerabilità è stata sfruttata con successo, l'attaccante potrebbe eseguire codice arbitrario con privilegi di SISTEMA. Una volta raggiunto questo obiettivo, l'utente malintenzionato potrebbe installare programmi, vista, modificare, o cancellare i dati, oppure creare nuovi account con diritti utente completi.
C'è una condizione perché il problema venga sfruttato con successo: l'attaccante deve essere in grado di eseguire codice arbitrario su un sistema vulnerabile.
Quali versioni di Windows 10 sono colpiti?
Attualmente, Microsoft può "confermare che questo problema riguarda Windows 10 versione 1809 e sistemi operativi più recenti.”
La falla CVE-2021-36934 è stata chiamata HiveNightmare dal ricercatore di sicurezza Kevin Beaumont, che è un riferimento al problema PrintNightmare scoperto di recente. Hive si riferisce al nome inglese dei file di struttura del registro di Windows. "In totale, ci sono cinque file SYSTEM, SICUREZZA, SAM, DEFAULT e SOFTWARE nella cartella C:\Windowssystem32config. Beaumont aveva già pubblicato ieri uno strumento per leggere il contenuto del Security Access Management (SAM) Banca dati,” ha spiegato il blog di Born Tech e Windows World.
Possibili soluzioni alternative
Microsoft consiglia Windows interessato 10 agli utenti di limitare l'accesso ai contenuti di %windir%system32config. Questo potrebbe essere fatto seguendo questi passaggi:
1.Apri il prompt dei comandi o Windows PowerShell come amministratore.
2.Esegui questo comando: icacls %windir%system32config*.* /ereditarietà:e
Un'altra possibile soluzione è eliminare il servizio Copia Shadow del volume (VSS) copie shadow. Tuttavia, questo potrebbe danneggiare gravemente le operazioni di ripristino, come la possibilità di ripristinare i dati tramite soluzioni di backup di terze parti.
"Devi limitare l'accesso ed eliminare le copie shadow per prevenire lo sfruttamento di questa vulnerabilità,”Dice Microsoft.
La vulnerabilità dello spooler di stampa
All'inizio di questo mese, Microsoft ha rivelato il cosiddetto PrintNightmare difetto. Lo sfruttamento della vulnerabilità PrintNightmare potrebbe consentire agli aggressori remoti di ottenere il pieno controllo sui sistemi interessati. L'esecuzione di codice remoto potrebbe essere ottenuta prendendo di mira un utente autenticato al servizio spooler.
I prodotti Microsoft interessati includono tutti i sistemi operativi di Windows 7 a Windows 10, e tutto da Server 2008 al server 2019.