विंडोज 10 और 11 के लिए समाधान हाइवनाइटमेयर विंडोज विशेषाधिकार भेद्यता का उन्नयन
- श्रेणी: विंडोज 10
इस हफ्ते की शुरुआत में, सुरक्षा शोधकर्ताओं ने माइक्रोसॉफ्ट के विंडोज ऑपरेटिंग सिस्टम के हाल के संस्करणों में एक भेद्यता की खोज की जो हमलावरों को सिस्टम विशेषाधिकारों के साथ कोड चलाने की अनुमति देता है यदि सफलतापूर्वक शोषण किया जाता है।
सुरक्षा खाता प्रबंधक (एसएएम) डेटाबेस सहित कुछ सिस्टम फ़ाइलों पर अत्यधिक अनुमेय अभिगम नियंत्रण सूचियाँ (एसीएल) समस्या पैदा कर रही हैं।
सीईआरटी पर एक लेख अतिरिक्त जानकारी प्रदान करता है। इसके अनुसार, BUILTIN/Users समूह को %windir%system32config में फ़ाइलों को RX अनुमति (रीड एक्ज़िक्यूट) दी जाती है।
यदि सिस्टम ड्राइव पर वॉल्यूम शैडो कॉपी (VSS) उपलब्ध हैं, तो अनपेक्षित उपयोगकर्ता हमलों के लिए भेद्यता का फायदा उठा सकते हैं जिसमें प्रोग्राम चलाना, डेटा हटाना, नए खाते बनाना, खाता पासवर्ड हैश निकालना, DPAPI कंप्यूटर कुंजियाँ प्राप्त करना और बहुत कुछ शामिल हो सकते हैं।
के अनुसार प्रमाणपत्र , VSS शैडो कॉपी सिस्टम ड्राइव पर 128 गीगाबाइट या अधिक स्टोरेज स्पेस के साथ स्वचालित रूप से बनाई जाती है जब विंडोज अपडेट या एमएसआई फाइलें स्थापित होती हैं।
व्यवस्थापक चला सकते हैं vssadmin सूची छाया छाया प्रतियां उपलब्ध हैं या नहीं, यह जांचने के लिए एक उन्नत कमांड प्रॉम्प्ट से।
माइक्रोसॉफ्ट ने इस मुद्दे को स्वीकार किया सीवीई-2021-36934 , ने भेद्यता की गंभीरता को महत्वपूर्ण, दूसरी उच्चतम गंभीरता रेटिंग के रूप में रेट किया, और पुष्टि की कि विंडोज 10 संस्करण 1809, 1909, 2004, 20H2 और 21H1, विंडोज 11 और विंडोज सर्वर इंस्टॉलेशन भेद्यता से प्रभावित हैं।
परीक्षण करें कि क्या आपका सिस्टम हाइवनाइटमेयर से प्रभावित हो सकता है
- मशीन पर 'गुप्त' मेनू प्रदर्शित करने के लिए कीबोर्ड शॉर्टकट विंडोज-एक्स का उपयोग करें।
- Windows PowerShell (व्यवस्थापक) का चयन करें।
- निम्नलिखित कमांड चलाएँ: यदि ((get-acl C:windowssystem32configsam).Access | -होस्ट 'सैम शायद वुलन'} और {लिखें-होस्ट 'सैम नॉट वल्न'}
यदि 'सैम हो सकता है VULN' लौटाया जाता है, तो सिस्टम भेद्यता से प्रभावित होता है (ट्विटर उपयोगकर्ता के माध्यम से द्रे आगा )
यह जांचने का दूसरा विकल्प है कि क्या सिस्टम संभावित हमलों की चपेट में है:
- प्रारंभ का चयन करें।
- cmd टाइप करें
- कमांड प्रॉम्प्ट चुनें।
- icacls चलाएँ %windir%system32configsam
एक कमजोर प्रणाली में आउटपुट में BUILTINUsers:(I)(RX) लाइन शामिल होती है। गैर-संवेदनशील प्रणाली एक 'पहुंच से वंचित' संदेश प्रदर्शित करेगी।
HiveNightmare सुरक्षा समस्या का समाधान
Microsoft ने संभावित कारनामों से उपकरणों की सुरक्षा के लिए अपनी वेबसाइट पर वर्कअराउंड प्रकाशित किया।
ध्यान दें : छाया प्रतियों को हटाने से उन अनुप्रयोगों पर अप्रत्याशित प्रभाव पड़ सकता है जो उनके संचालन के लिए छाया प्रतियों का उपयोग करते हैं।
व्यवस्थापक Microsoft के अनुसार %windir%system32config में फ़ाइलों के लिए ACL वंशानुक्रम को सक्षम कर सकते हैं।
- प्रारंभ का चयन करें
- सीएमडी टाइप करें।
- व्यवस्थापक के रूप में चलाएँ चुनें।
- यूएसी प्रॉम्प्ट की पुष्टि करें।
- icacls %windir%system32config*.* /inheritance:e . चलाएँ
- vssadmin छाया हटाएं /for=c: /शांत
- vssadmin सूची छाया
कमांड 5 एसीएल इंटरहेरिटेंस को सक्षम करता है। कमांड 6 मौजूद छाया प्रतियों को हटाता है और कमांड 7 सत्यापित करता है कि सभी छाया प्रतियां हटा दी गई हैं।
अब आप : क्या आपका सिस्टम प्रभावित है?