2021 ist nicht das beste Jahr für Windows Sicherheit. Immer wieder taucht eine neue Sicherheitslücke im Betriebssystem auf, die die Sicherheit aller Nutzer gefährdet und die übrigens erst einige Wochen später mit dem neuen Patch Tuesday behoben werden. Und für den Fall Microsoft Hatte wenig mit den Sicherheitsproblemen der Drucker, jetzt ist eine neue Sicherheitslücke der besorgniserregendsten hinzugekommen: BienenstockAlbtraum.
HiveNightmare (Name, der dieser Schwachstelle zugewiesen wurde) ist eine Sicherheitslücke, die in allen Versionen von Windows 10 ab 1809 und in Windows 11 vorhanden ist. Dank dieser Schwachstelle kann jeder Benutzer, auch ohne Administratorrechte, auf kritische Systemdateien zugreifen. wie zum Beispiel SAM, SYSTEM und SICHERHEIT . Auf diese Weise könnte dieser Benutzer die höchsten Berechtigungen innerhalb des Microsoft-Betriebssystems erlangen: SYSTEM. Und damit können Sie auf Ihrem PC buchstäblich tun, was Sie wollen, sogar zufälligen Code im PC-Speicher ausführen oder Windows-Programme ändern.
Dieser Fehler ist sehr ähnlich zu Sequoia , ein Fehler, der am selben Tag veröffentlicht wurde, aber hauptsächlich betrifft Linux Benutzer.
Microsoft hat derzeit nicht viele Informationen zu diesem neuen Sicherheitsproblem gegeben, das alle seine modernen Windows betrifft. Dank der Forscher können wir jedoch einen Trick kennen, um zu sehen, ob wir von diesem Fehler betroffen sind oder wenn nicht, ob unser PC bereits geschützt ist.
Testen Sie, ob Windows für HiveNightmare anfällig ist
In GitHub Wir können ein einfaches Skript finden, mit dem wir die Berechtigungen der SAM-, SYSTEM- und SECURITY-Dateien mit ein paar überprüfen können Powershell Befehle. Dazu müssen wir als erstes ein erweitertes Windows-Konsolenfenster mit Administratorrechten öffnen (dies ist sehr wichtig) und den folgenden Befehl ausführen:
Invoke-WebRequest -URI https://raw.githubusercontent.com/JumpsecLabs/Guidance-Advice/main/SAM_Permissions/SAM_Permissions_Check.ps1 -OutFile ./SAM_Permissions_Check.ps1 -usebasicparsing
Mit diesem Befehl können wir das Skript von PowerShell herunterladen. SAM_Permissions_Check.ps1 “ von den GitHub-Servern. Der Download dauert nur wenige Augenblicke und am Ende müssen wir nur noch Folgendes ausführen:
.SAM_Permissions_Check.ps1
Das Skript ist für die Analyse unseres PCs verantwortlich und zeigt uns an, ob unser PC anfällig ist (die betroffenen Dateien rot markiert) oder ob wir geschützt sind (grün markiert).
Wir können es auch von CMD aus testen, wenn wir PowerShell nicht verwenden möchten. Dazu müssen wir lediglich ein Windows-Konsolenfenster öffnen und darin folgenden Befehl ausführen:
icacls %windir%/system32/config/sam
Wenn die Ausgabe eine Meldung wie „BUILTINUsers: (I) (RX)“ zeigt, sind wir in Gefahr. Andernfalls wird unser PC geschützt.
Ist Ihr PC betroffen? Schütze dich selbst
Wenn Ihr PC geschützt ist, müssen Sie sich um nichts mehr kümmern. Im Gegenteil, wenn es in Gefahr ist, müssen wir uns schützen, wenn wir nicht weiter Risiken eingehen wollen. Dazu müssen wir ein CMD-Fenster mit Administratorrechten öffnen und die folgenden Befehle darin ausführen:
icacls %windir%/system32/config/*.* /inheritance:e vssadmin delete shadows /for=c: /Quiet vssadmin list shadows
Der erste Befehl aktiviert die ACL-Vererbung, der zweite löscht die Schattenkopien vom System und der dritte prüft, ob tatsächlich keine Schattenkopien auf dem System vorhanden sind.
Jetzt sind wir geschützt, bis Microsoft dieses schwerwiegende Problem in Windows endgültig behebt.
