Security Announcement: HiveNightmare & Petit Potam
Wichtiger Sicherheitshinweis:
Mit der Schwachstelle "HiveNightmare" besteht in Windows 10 ab der Version 1809 und in Windows 11 eine Schwachstelle, mit der es möglich ist, die "Security Accounts Manager" (SAM)-Datenbank eines verwundbaren Systems auszulesen.
Die SAM Datenbank ist eine der Dateien, die als sog. "Hive" im Windows Konfigurationsordner gespeichert werden und enthält die wichtigsten Kontoinformationen der Benutzer.
Wie Sicherheitsforscher Jonas Lyk und der Mimikatz-Entwickler Benjamin Delpy nun herausgefunden haben, werden bei der Erstellung von Volumenschattenkopien (dem Standardwerkzeug zur Erstellung von Snapshots unter Windows, um ggfs. bestimmte Versionsstände wiederherzustellen) fehlerhafte Berechtigungen auf eben jene Datei gesetzt, die es nicht-administrativen Benutzern ermöglichen, die SAM Datenbank auszulesen. Unter Verwendung dieser Daten können die darin enthaltenen Passwörter zum Beispiel mithilfe von Mimikatz für sogenannten "Pass the Hash"- oder "Silver Ticket"-Angriffe verwendet werden.
Das Problem tritt aktuell nicht bei jedem System auf. So sollen Domänenmitglieder seltener betroffen sein als Installationen außerhalb einer Domäne. Bei den aktuellsten ISO-Installationen soll die Schwachstelle ebenfalls nicht auftreten.
Prüfung der Schwachstelle
Ob ein System verwundbar ist, lässt sich am besten mit dem Befehl
icacls c:\windows\system32\config\sam
feststellen. In der Schattenkopie wären hier dann die "RX"-Rechte gesetzt.
Workaround
Aktuell hat Microsoft noch kein Update für die als CVE-2021-36934 bekannte Schwachstelle herausgegeben, dafür allerdings die Github Site mit einem PoC für den Angriff
Als Workaround können die betreffenden Dateien vorerst mit einer Anpassung der Berechtigungen abgesichert werden.
Dies kann einzeln für die Dateien erfolgen:
icacls %windir%\system32\config\sam /remove "Users"
icacls %windir%\system32\config\security /remove "Users"
icacls %windir%\system32\config\system /remove "Users"
oder für den gesamten Ordner:
icacls %windir%\system32\config\*.* /inheritance:e
Zusätzlich dazu wurde vor kurzem eine weitere Schwachstelle veröffentlicht, die als "Petit Potam" (kleines Flusspferd) bekannt ist. Hier ist es möglich, ein System remote dazu zu veranlassen, eine NTLM Authentication zu starten und somit NTLM Anmeldeinformationen zu erhalten, die es einem Angreifer ebenfalls ermöglichen, Passwörter zu erhalten oder Passworthashes für eine "Relay-Attacke" zu verwenden.
Hier empfiehlt Microsoft bei NTLM basierten Installationen EPA (Extensible Protection for Authentication) oder SMB Signing zu aktivieren.
Security Announcement: HiveNightmare & Petit Potam
