Start Microsoft HiveNightmare: Windows 10 und Windows 11 weisen eine Sicherheitslücke auf, die ausgenutzt...

HiveNightmare: Windows 10 und Windows 11 weisen eine Sicherheitslücke auf, die ausgenutzt werden kann, um administrativen Zugriff auf die Registrierung zu erhalten

4
0


Buntes Microsoft-Logo

In Windows 10 wurde eine lokale Sicherheitsanfälligkeit bezüglich der Rechteausweitung entdeckt, die verwendet werden kann, um Zugriff auf ansonsten unzugängliche Bereiche der Registrierung zu erhalten. Dieser Zugriff wiederum ermöglicht es, Passwörter zu entdecken, DPAPI-Entschlüsselungsschlüssel zu erhalten und vieles mehr. Das Problem betrifft auch Windows 11.

Die Zero-Day-Schwachstelle namens HiveNightmare (wegen des Zugriffs auf die Registrierung von Hives) folgt der Sicherheitslücke von PrintNightmare. Obwohl derzeit kein Patch verfügbar ist, hat Microsoft in der Zwischenzeit Details zu einem Workaround bereitgestellt.

Siehe auch:

Die Sicherheitsanfälligkeit ermöglicht unbefugten Zugriff auf sehr sensible Abschnitte der Registrierung, insbesondere auf die Hive-Dateien Security Account Manager (SAM), SYSTEM und SECURITY. Ein US-CERT beratend warnt davor, dass die Sicherheitslücke Windows 10, Version 1809 und höher betrifft, und ein Sicherheitsforscher hat herausgefunden, dass dies auch Windows 11 umfasst.

  • Das US-CERT-Gutachten warnt vor den potenziellen Auswirkungen des Fehlers und weist auf eine Reihe unerwünschter Ergebnisse hin, „einschließlich, aber nicht beschränkt auf“:
  • Extrahieren und nutzen Sie Kontokennwort-Hashes.
  • Entdecken Sie das ursprüngliche Windows-Installationskennwort.
  • Rufen Sie DPAPI-Computerschlüssel ab, die zum Entschlüsseln aller privaten Computerschlüssel verwendet werden können.
  • Besorgen Sie sich ein Computerkonto, das bei einem Silberticket-Angriff verwendet werden kann.

Die Schwachstelle wird verfolgt als CVE-2021-36934, und Microsoft beschreibt es mit den Worten:

Es liegt eine Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen vor, die auf übermäßig freizügige Zugriffssteuerungslisten (ACLs) für mehrere Systemdateien, einschließlich der Security Accounts Manager (SAM)-Datenbank, zurückzuführen ist. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann beliebigen Code mit SYSTEM-Berechtigungen ausführen. Ein Angreifer könnte dann Programme installieren; Daten anzeigen, ändern oder löschen; oder erstellen Sie neue Konten mit vollen Benutzerrechten. Ein Angreifer muss in der Lage sein, Code auf einem Opfersystem auszuführen, um diese Sicherheitsanfälligkeit auszunutzen.

Es war die Sicherheitsforschung Jonas Lyk, die Details des Fehlers entdeckte und teilte, mit zusätzlichen Arbeiten von Benjamin Delpy. Lyks Recherchen deckten auch die Schwachstelle von Windows 11 auf:

Microsoft hat Details zur folgenden Problemumgehung mitgeteilt, die dazu beitragen soll, die Sicherheitsanfälligkeit zu mindern, bis ein Patch erstellt wird:

Beschränken Sie den Zugriff auf den Inhalt von %windir%system32config

  1. Öffnen Sie die Eingabeaufforderung oder Windows PowerShell als Administrator.
  2. Führen Sie diesen Befehl aus: icacls %windir%system32config*.* /inheritance:e

Schattenkopien des Volume Shadow Copy Service (VSS) löschen

  1. Löschen Sie alle Systemwiederherstellungspunkte und Schattenvolumes, die vor der Einschränkung des Zugriffs auf %windir%system32config vorhanden waren.
  2. Erstellen Sie einen neuen Systemwiederherstellungspunkt (falls gewünscht).

Auswirkung der Problemumgehung Das Löschen von Schattenkopien kann sich auf Wiederherstellungsvorgänge auswirken, einschließlich der Möglichkeit, Daten mit Sicherungsanwendungen von Drittanbietern wiederherzustellen.

Notiz Sie müssen den Zugriff einschränken und Löschen Sie Schattenkopien, um die Ausnutzung dieser Sicherheitsanfälligkeit zu verhindern.

Die US-CERT-Beratung enthält die folgende Problemumgehung:

Beschränken Sie den Zugriff auf Sam-, System- und Sicherheitsdateien und entfernen Sie VSS-Schattenkopien

Anfällige Systeme können die Benutzer-ACL entfernen, um diese sensiblen Dateien zu lesen, indem sie die folgenden Befehle ausführen:

icacls %windir%system32configsam /remove "Users"

icacls %windir%system32configsecurity /remove "Users"

icacls %windir%system32configsystem /remove "Users"

Nachdem die ACLs für diese Dateien korrigiert wurden, müssen alle VSS-Schattenkopien des Systemlaufwerks gelöscht werden, um ein System vor Ausbeutung zu schützen. Dies kann mit dem folgenden Befehl erreicht werden, vorausgesetzt, Ihr Systemlaufwerk ist c::

vssadmin delete shadows /for=c: /Quiet

Bestätigen Sie, dass VSS-Schattenkopien gelöscht wurden, indem Sie vssadmin list shadows erneut ausführen. Beachten Sie, dass alle Funktionen, die auf vorhandenen Schattenkopien basieren, wie die Systemwiederherstellung, nicht wie erwartet funktionieren. Neu erstellte Schattenkopien, die die richtigen ACLs enthalten, funktionieren wie erwartet.

Bildnachweis: Verschiedene Fotografie / Shutterstock



Vorheriger ArtikelMicrosoft sagt, dass es nicht möglich sein wird, die Systemanforderungen von Windows 11 zu umgehen
Nächster ArtikelHolen Sie sich ‚Sicherheitsgrundlagen‘ (im Wert von 24,00 USD) KOSTENLOS für eine begrenzte Zeit

Kommentieren Sie den Artikel

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein