विंडोज 10 और 11 के लिए समाधान हाइवनाइटमेयर विंडोज विशेषाधिकार भेद्यता का उन्नयन

इस हफ्ते की शुरुआत में, सुरक्षा शोधकर्ताओं ने माइक्रोसॉफ्ट के विंडोज ऑपरेटिंग सिस्टम के हाल के संस्करणों में एक भेद्यता की खोज की जो हमलावरों को सिस्टम विशेषाधिकारों के साथ कोड चलाने की अनुमति देता है यदि सफलतापूर्वक शोषण किया जाता है।

सुरक्षा खाता प्रबंधक (एसएएम) डेटाबेस सहित कुछ सिस्टम फ़ाइलों पर अत्यधिक अनुमेय अभिगम नियंत्रण सूचियाँ (एसीएल) समस्या पैदा कर रही हैं।

सीईआरटी पर एक लेख अतिरिक्त जानकारी प्रदान करता है। इसके अनुसार, BUILTIN/Users समूह को %windir%system32config में फ़ाइलों को RX अनुमति (रीड एक्ज़िक्यूट) दी जाती है।

यदि सिस्टम ड्राइव पर वॉल्यूम शैडो कॉपी (VSS) उपलब्ध हैं, तो अनपेक्षित उपयोगकर्ता हमलों के लिए भेद्यता का फायदा उठा सकते हैं जिसमें प्रोग्राम चलाना, डेटा हटाना, नए खाते बनाना, खाता पासवर्ड हैश निकालना, DPAPI कंप्यूटर कुंजियाँ प्राप्त करना और बहुत कुछ शामिल हो सकते हैं।

के अनुसार प्रमाणपत्र , VSS शैडो कॉपी सिस्टम ड्राइव पर 128 गीगाबाइट या अधिक स्टोरेज स्पेस के साथ स्वचालित रूप से बनाई जाती है जब विंडोज अपडेट या एमएसआई फाइलें स्थापित होती हैं।

व्यवस्थापक चला सकते हैं vssadmin सूची छाया छाया प्रतियां उपलब्ध हैं या नहीं, यह जांचने के लिए एक उन्नत कमांड प्रॉम्प्ट से।

माइक्रोसॉफ्ट ने इस मुद्दे को स्वीकार किया सीवीई-2021-36934 , ने भेद्यता की गंभीरता को महत्वपूर्ण, दूसरी उच्चतम गंभीरता रेटिंग के रूप में रेट किया, और पुष्टि की कि विंडोज 10 संस्करण 1809, 1909, 2004, 20H2 और 21H1, विंडोज 11 और विंडोज सर्वर इंस्टॉलेशन भेद्यता से प्रभावित हैं।

परीक्षण करें कि क्या आपका सिस्टम हाइवनाइटमेयर से प्रभावित हो सकता है

सैम कमजोर चेक

  1. मशीन पर 'गुप्त' मेनू प्रदर्शित करने के लिए कीबोर्ड शॉर्टकट विंडोज-एक्स का उपयोग करें।
  2. Windows PowerShell (व्यवस्थापक) का चयन करें।
  3. निम्नलिखित कमांड चलाएँ: यदि ((get-acl C:windowssystem32configsam).Access | -होस्ट 'सैम शायद वुलन'} और {लिखें-होस्ट 'सैम नॉट वल्न'}

यदि 'सैम हो सकता है VULN' लौटाया जाता है, तो सिस्टम भेद्यता से प्रभावित होता है (ट्विटर उपयोगकर्ता के माध्यम से द्रे आगा )

विंडोज़-हाइवदुःस्वप्न भेद्यता

यह जांचने का दूसरा विकल्प है कि क्या सिस्टम संभावित हमलों की चपेट में है:

  1. प्रारंभ का चयन करें।
  2. cmd टाइप करें
  3. कमांड प्रॉम्प्ट चुनें।
  4. icacls चलाएँ %windir%system32configsam

एक कमजोर प्रणाली में आउटपुट में BUILTINUsers:(I)(RX) लाइन शामिल होती है। गैर-संवेदनशील प्रणाली एक 'पहुंच से वंचित' संदेश प्रदर्शित करेगी।

HiveNightmare सुरक्षा समस्या का समाधान

Microsoft ने संभावित कारनामों से उपकरणों की सुरक्षा के लिए अपनी वेबसाइट पर वर्कअराउंड प्रकाशित किया।

ध्यान दें : छाया प्रतियों को हटाने से उन अनुप्रयोगों पर अप्रत्याशित प्रभाव पड़ सकता है जो उनके संचालन के लिए छाया प्रतियों का उपयोग करते हैं।

व्यवस्थापक Microsoft के अनुसार %windir%system32config में फ़ाइलों के लिए ACL वंशानुक्रम को सक्षम कर सकते हैं।

  1. प्रारंभ का चयन करें
  2. सीएमडी टाइप करें।
  3. व्यवस्थापक के रूप में चलाएँ चुनें।
  4. यूएसी प्रॉम्प्ट की पुष्टि करें।
  5. icacls %windir%system32config*.* /inheritance:e . चलाएँ
  6. vssadmin छाया हटाएं /for=c: /शांत
  7. vssadmin सूची छाया

कमांड 5 एसीएल इंटरहेरिटेंस को सक्षम करता है। कमांड 6 मौजूद छाया प्रतियों को हटाता है और कमांड 7 सत्यापित करता है कि सभी छाया प्रतियां हटा दी गई हैं।

अब आप : क्या आपका सिस्टम प्रभावित है?