0
(0)

A principios de esta semana, los investigadores de seguridad descubrieron una vulnerabilidad en versiones recientes del sistema operativo Windows de Microsoft que permite a los atacantes ejecutar código con privilegios de sistema si se explota con éxito.

Las listas de control de acceso (ACL) excesivamente permisivas en algunos archivos del sistema, incluida la base de datos del administrador de cuentas de seguridad (SAM), están causando el problema.

Un artículo sobre CERT proporciona información adicional. De acuerdo con él, el grupo BUILTIN / Users tiene permiso RX (Leer Ejecutar) para los archivos en% windir% system32 config.

Si las instantáneas de volumen (VSS) están disponibles en la unidad del sistema, los usuarios sin privilegios pueden aprovechar la vulnerabilidad para ataques que pueden incluir ejecutar programas, eliminar datos, crear nuevas cuentas, extraer hashes de contraseñas de cuentas, obtener claves de computadora DPAPI y más.

De acuerdo a CERT, Las instantáneas de VSS se crean automáticamente en unidades del sistema con 128 Gigabytes o más de espacio de almacenamiento cuando se instalan actualizaciones de Windows o archivos MSI.

Los administradores pueden ejecutar vssadmin list shadows desde un símbolo del sistema elevado para comprobar si hay instantáneas disponibles.

Microsoft reconoció el problema en CVE-2021-36934, calificó la gravedad de la vulnerabilidad como importante, la segunda clasificación de gravedad más alta, y confirmó que las instalaciones de Windows 10 versión 1809, 1909, 2004, 20H2 y 21H1, Windows 11 y Windows Server se ven afectadas por la vulnerabilidad.

Pruebe si su sistema puede verse afectado por HiveNightmare

sam cheque vulnerable

  1. Utilice el método abreviado de teclado Windows-X para mostrar el menú «secreto» en la máquina.
  2. Seleccione Windows PowerShell (administrador).
  3. Ejecute el siguiente comando: if ((get-acl C: windows system32 config sam) .Access |? IdentityReference -match ‘BUILTIN \ Users’ | select -expandproperty filesystemrights | select-string ‘Read’) {write -host «SAM tal vez VULN»} else {write-host «SAM NOT vuln»}

Si se devuelve «Sam tal vez VULN», el sistema se ve afectado por la vulnerabilidad (a través del usuario de Twitter Dray Agha)

vulnerabilidad de pesadilla en windows-hiven

Aquí hay una segunda opción para verificar si el sistema es vulnerable a posibles ataques:

  1. Seleccione Iniciar.
  2. Escriba cmd
  3. Seleccione Símbolo del sistema.
  4. Ejecute icacls% windir% system32 config sam

Un sistema vulnerable incluye la línea BUILTIN Users: (I) (RX) en la salida. El sistema no vulnerable mostrará un mensaje de «acceso denegado».

Solución alternativa para el problema de seguridad de HiveNightmare

Microsoft publicó una solución alternativa en su sitio web para proteger los dispositivos contra posibles vulnerabilidades.

Los administradores pueden habilitar la herencia de ACL para archivos en% windir% system32 config según Microsoft.

  1. Seleccione Iniciar
  2. Escriba cmd.
  3. Elija Ejecutar como administrador.
  4. Confirme el mensaje de UAC.
  5. Ejecute icacls% windir% system32 config *. * / Heritage: e
  6. vssadmin eliminar sombras / for = c: / Quiet
  7. sombras de la lista de vssadmin

El comando 5 habilita la interherencia de ACL. Command 6 elimina las instantáneas que existen y Command 7 verifica que se hayan eliminado todas las instantáneas.

Ahora tu: ¿se ve afectado su sistema?

publicitario

¿Le ha parecido útil este contenido?

¡Haz clic en una estrella para puntuar!

Promedio de puntuación 0 / 5. Recuento de votos: 0

Hasta ahora, ¡no hay votos!. Sé el primero en puntuar este contenido.