Windows 10 및 11 HiveNightmare Windows 권한 상승 취약점에 대한 대안
- 범주: 윈도우 10
이번 주 초 보안 연구원들은 공격자가 성공적으로 악용될 경우 시스템 권한으로 코드를 실행할 수 있는 최신 버전의 Microsoft Windows 운영 체제에서 취약점을 발견했습니다.
SAM(Security Accounts Manager) 데이터베이스를 포함하여 일부 시스템 파일의 지나치게 허용적인 ACL(액세스 제어 목록)이 문제를 일으키고 있습니다.
CERT에 대한 기사에서 추가 정보를 제공합니다. 그것에 따르면 BUILTIN/Users 그룹에는 %windir%system32config의 파일에 대한 RX 권한(실행 읽기)이 부여됩니다.
시스템 드라이브에서 VSS(볼륨 섀도 복사본)를 사용할 수 있는 경우 권한이 없는 사용자가 프로그램 실행, 데이터 삭제, 새 계정 생성, 계정 암호 해시 추출, DPAPI 컴퓨터 키 획득 등의 공격에 취약성을 악용할 수 있습니다.
에 따르면 CERT , VSS 섀도 복사본은 Windows 업데이트 또는 MSI 파일이 설치될 때 128GB 이상의 저장 공간이 있는 시스템 드라이브에 자동으로 생성됩니다.
관리자는 다음을 실행할 수 있습니다. vssadmin 목록 그림자 섀도 복사본을 사용할 수 있는지 확인하려면 관리자 권한 명령 프롬프트에서
Microsoft는 다음에서 문제를 인정했습니다. CVE-2021-36934 은(는) 취약점의 심각도를 두 번째로 높은 심각도 등급으로 중요하게 평가했으며 Windows 10 버전 1809, 1909, 2004, 20H2 및 21H1, Windows 11 및 Windows Server 설치가 취약점의 영향을 받는 것으로 확인되었습니다.
시스템이 HiveNightmare의 영향을 받을 수 있는지 테스트
- 키보드 단축키 Windows-X를 사용하여 컴퓨터에 '비밀' 메뉴를 표시합니다.
- Windows PowerShell(관리자)을 선택합니다.
- 다음 명령을 실행합니다. if ((get-acl C:windowssystem32configsam).Access | ? IdentityReference -match 'BUILTIN\Users' | select -expandproperty filesystemrights | select-string 'Read'){write -host 'SAM 아마도 VULN' }else { write-host 'SAM NOT vuln'}
'Sam may VULN'이 반환되면 시스템이 취약점의 영향을 받습니다(Twitter 사용자를 통해 드레이 아가 )
시스템이 잠재적인 공격에 취약한지 확인하는 두 번째 옵션은 다음과 같습니다.
- 시작을 선택합니다.
- cmd 입력
- 명령 프롬프트를 선택합니다.
- icacls %windir%system32configsam을 실행합니다.
취약한 시스템은 출력에 BUILTINUsers:(I)(RX) 라인을 포함합니다. 취약하지 않은 시스템은 '액세스가 거부되었습니다'라는 메시지를 표시합니다.
HiveNightmare 보안 문제에 대한 해결 방법
Microsoft는 잠재적인 악용으로부터 장치를 보호하기 위한 해결 방법을 웹 사이트에 게시했습니다.
메모 : 섀도 복사본을 삭제하면 작업에 섀도 복사본을 사용하는 응용 프로그램에 예기치 않은 영향이 있을 수 있습니다.
관리자는 Microsoft에 따라 %windir%system32config의 파일에 대해 ACL 상속을 활성화할 수 있습니다.
- 시작 선택
- cmd를 입력합니다.
- 관리자 권한으로 실행을 선택합니다.
- UAC 프롬프트를 확인합니다.
- icacls %windir%system32config*.* /inheritance:e를 실행합니다.
- vssadmin 그림자 삭제 /for=c: /Quiet
- vssadmin 목록 그림자
명령 5는 ACL 상호 상속을 활성화합니다. 명령 6은 존재하는 섀도 복사본을 삭제하고 명령 7은 모든 섀도 복사본이 삭제되었는지 확인합니다.
지금 당신 : 시스템이 영향을 받습니까?