A essência desta vulnerabilidade é que se você realizar uma cópia de sombra de seus arquivos importantes com senhas com hash para todas as contas do sistema operacional, dados de chave de criptografia e outras informações importantes (os arquivos armazenados em SAM, SECURITY e SYSTEM) - você será capaz de Leia-osimediatamente com direitos de usuário padrão.
Considerando que em uma situação padrão, após realizar uma cópia de sombra, você não pode ler os arquivos especificados com direitos de usuário. Em outras palavras, você poderá elevar privilégios após obter o hash de senha desejado.
Existe alguma maneira de consertar isso sem instalar as atualizações mais recentes do Windows?
Responder1
Estamos usando uma solução alternativa
Crie um arquivo .bat
icacls %windir%\system32\config\*.* /inheritance:e
vssadmin delete shadows /all /quiet
Crie um arquivo chamado Windows_10_all.mof
instance of MSFT_SomFilter
{
Author = "Administrator@domain";
ChangeDate = "20210722135205.787000-000";
CreationDate = "20210722134746.125000-000";
Description = "Windows 10 Clients only";
Domain = "domain";
ID = "{677E2CEF-BCFC-46A5-B4D6-61C9A70250E8}";
Name = "Windows 10 Only";
Rules = {
instance of MSFT_Rule
{
Query = "Select * from Win32_OperatingSystem where Version like \"10.%\" and ProductType=\"1\"";
QueryLanguage = "WQL";
TargetNameSpace = "root\\CIMv2";
}};
};
Crie um GPO para o script de inicialização
Copie o lote acima para o diretório criado.
Usar filtro MWI
Vá para Filtro WMI, clique com o botão direito em importar o arquivo acima
ou faça isso com preguiça, criando-o manualmente
"Select * from Win32_OperatingSystem where Version like \"10.%\" and ProductType=\"1\"";
Depois disso, selecione seu GPO no lado esquerdo e depois selecione no lado direito seu Filtro WMI.
Conclusões
Esta é apenas uma solução alternativa que a Microsoft diz para fazer, a maioria dos sites apenas explica para corrigir o arquivo em vez das permissões da pasta.