Security Announcement: HiveNightmare & Petit Potam

Wichtiger Sicherheitshinweis:

Mit der Schwachstelle "HiveNightmare" besteht in Windows 10 ab der Version 1809 und in Windows 11 eine Schwachstelle, mit der es möglich ist, die "Security Accounts Manager" (SAM)-Datenbank eines verwundbaren Systems auszulesen.

Die SAM Datenbank ist eine der Dateien, die als sog. "Hive" im Windows Konfigurationsordner gespeichert werden und enthält die wichtigsten Kontoinformationen der Benutzer.

Wie Sicherheitsforscher Jonas Lyk und der Mimikatz-Entwickler Benjamin Delpy nun herausgefunden haben, werden bei der Erstellung von Volumenschattenkopien (dem Standardwerkzeug zur Erstellung von Snapshots unter Windows, um ggfs. bestimmte Versionsstände wiederherzustellen) fehlerhafte Berechtigungen auf eben jene Datei gesetzt, die es nicht-administrativen Benutzern ermöglichen, die SAM Datenbank auszulesen. Unter Verwendung dieser Daten können die darin enthaltenen Passwörter zum Beispiel mithilfe von Mimikatz für sogenannten "Pass the Hash"- oder "Silver Ticket"-Angriffe verwendet werden.

Das Problem tritt aktuell nicht bei jedem System auf. So sollen Domänenmitglieder seltener betroffen sein als Installationen außerhalb einer Domäne. Bei den aktuellsten ISO-Installationen soll die Schwachstelle ebenfalls nicht auftreten.

Prüfung der Schwachstelle

Ob ein System verwundbar ist, lässt sich am besten mit dem Befehl

icacls c:\windows\system32\config\sam

feststellen. In der Schattenkopie wären hier dann die "RX"-Rechte gesetzt.

Workaround

Aktuell hat Microsoft noch kein Update für die als CVE-2021-36934 bekannte Schwachstelle herausgegeben, dafür allerdings die Github Site mit einem PoC für den Angriff in ihrem Browser "Edge" als "unsicher" gesperrt.

Als Workaround können die betreffenden Dateien vorerst mit einer Anpassung der Berechtigungen abgesichert werden.
Dies kann einzeln für die Dateien erfolgen:

icacls %windir%\system32\config\sam /remove "Users"
icacls %windir%\system32\config\security /remove "Users"
icacls %windir%\system32\config\system /remove "Users"

oder für den gesamten Ordner:

icacls %windir%\system32\config\*.* /inheritance:e

Zusätzlich dazu wurde vor kurzem eine weitere Schwachstelle veröffentlicht, die als "Petit Potam" (kleines Flusspferd) bekannt ist. Hier ist es möglich, ein System remote dazu zu veranlassen, eine NTLM Authentication zu starten und somit NTLM Anmeldeinformationen zu erhalten, die es einem Angreifer ebenfalls ermöglichen, Passwörter zu erhalten oder Passworthashes für eine "Relay-Attacke" zu verwenden.

Hier empfiehlt Microsoft bei NTLM basierten Installationen EPA (Extensible Protection for Authentication) oder SMB Signing zu aktivieren.

Security Announcement: HiveNightmare & Petit Potam

Zurück

News

Aus magellan wird fernao magellan

Die magellan netzwerke GmbH verkündet ihr Re-Branding.

Security Announcement: Infoblox

Wichtiger Hinweis zu End-of-Life/-Support von NIOS 8.5.x

Security Announcement: Veeam

Wichtiger Sicherheitshinweis: Aktive Bedrohung durch Angriffe auf Veeam-Backup-Sicherheitslücke

Security Announcement: Fortinet

Wichtiger Sicherheitshinweis zu kritischer Sicherheitslücke bei Fortinet

Umfrage zum besten IT-Dienstleister 2023

Ihre Meinung ist uns wichtig!

magellan erhält den Silber-Award bei den Service Provider Awards 2023

Die Auszeichnung würdigt die Kompetenz und den exzellenten Service der magellan in der Kategorie Managed Security

Alle News

Das FERNAO-Netzwerk

Durch den Zusammenschluss der Unternehmen profitieren Kunden von ganzheitlichen IT-Lösungen aus einer Hand – professionell und spezialisiert auf Ihre Projekte abgestimmt.

Mehr erfahren
Folgen Sie uns:
facebook twitter youtube linkedin xing instagram