Đã có giải pháp khắc phục lỗ hổng chiếm quyền admin trên Windows 10 và Windows 11

Microsoft vừa chính thức tung ra một giải pháp khắc phục tạm thời cho lỗ hổng bảo mật HiveNightmare vừa mới được khám phá ra bởi các chuyên gia bảo mật.

Hai chuyên gia với tài khoản Twitter là Jonas L và @GosiTheDog đã phát hiện ra rằng Windows 10 và Windows 11 có lỗ hổng bảo mật cho phép tài khoản cấp thấp truy cập file chứa dữ liệu quan trọng. Dựa vào đó, hacker có thể thực hiện kiểu tấn công leo thang đặc quyền (LPE) để chiếm quyền kiểm soát toàn bộ máy tính.

Cụ thể, ngay cả tài khoản không phải quản trị viên trên máy tính Windows 10, Windows 11 cũng có thể truy cập vào Trình quản lý tài khoản bảo mật Windows (SAM). Những tệp registry quan trọng khác như SYSTEM và SECURITY cũng có thể bị truy cập nếu hacker khai thác thành công lỗ hổng này.

Các chuyên gia đặt tên cho lỗ hổng mới là SeriousSAM hoặc HiveNightmare. Trong khi đó, Microsoft thừa nhận vấn đề và gán cho nó mã theo dõi CVE-2021-36934.

HiveNightmare xuất hiện sau khi Microsoft tung ra bản cập nhật KB5004605 để bổ sung mã hóa Advanced Encryption Standard (AES). Nó ảnh hưởng tới tất cả phiên bản hệ điều hành bắt đầu từ Windows 11 build 1809, bao gồm cả Windows 11 Insider Preview Build 22000.71 vừa được tung ra.

Cách kiểm tra xem máy tính của bạn có bị ảnh hưởng bởi HiveNightmare hay không

Hầu hết các máy tính với ổ cài hệ điều hành có dung lượng lớn hơn 128GB nhiều khả năng sẽ chứa các bản ghi VSS. Và những máy tính có bản ghi VSS đều có khả năng bị hacker tấn công bằng lỗ hổng HiveNightmare. Để kiểm tra xem máy tính của mình có bị ảnh hưởng bởi HiveNightmare hay không bạn cần thực hiện theo các bước sau:

  • Mở Command Prompt bằng tài khoản thường, không phải Administrator
  • Chạy dòng lệnh: icacls %windir%\system32\config\sam
  • Máy bị ảnh hưởng sẽ có báo cáo BUILTIN\Users:(I)(RX) trong kết quả như sau:

  • Máy không bị ảnh hưởng sẽ có kết quả như sau:

Giải pháp khắc phục tạm thời

Hiện tại, theo Microsoft người dùng có thể khắc phục tạm thời bằng giải pháp sau:

  • Hạn chế truy cập nội dung của %windir%\system32\config
    • Mở Command Prompt hoặc Windows PowerShell dưới quyền Administrator
    • Chạy dòng lệnh: icacls %windir%\system32\config\*.* /inheritance:e
  • Xóa các bản ghi Volume Shadow Copy Service (VSS)
    • Mở Command Prompt hoặc Windows PowerShell dưới quyền Administrator
    • Chạy lệnh: vssadmin list shadows để xem có điểm khôi phục hệ thống shadow nào hay không
    • Nếu có, xóa chúng bằng lệnh: vssadmin delete shadows /for=c: /Quiet
    • Chạy lại lệnh: vssadmin list shadows để xem chúng đã được xóa hay chưa
    • Xóa tất cả các điểm khôi phục System Restore tồn tại trước khi hạn chế truy cập vào %windir%\system32\config
    • Tạo điểm khôi phục System Restore mới (nếu cần)

Trong thời gian tới, Microsoft sẽ tung ra bản cập nhật để khắc phục lỗ hổng này.

Thứ Năm, 22/07/2021 16:29