Security Announcement: HiveNightmare & Petit Potam

Wichtiger Sicherheitshinweis:

Mit der Schwachstelle "HiveNightmare" besteht in Windows 10 ab der Version 1809 und in Windows 11 eine Schwachstelle, mit der es möglich ist, die "Security Accounts Manager" (SAM)-Datenbank eines verwundbaren Systems auszulesen.

Die SAM Datenbank ist eine der Dateien, die als sog. "Hive" im Windows Konfigurationsordner gespeichert werden und enthält die wichtigsten Kontoinformationen der Benutzer.

Wie Sicherheitsforscher Jonas Lyk und der Mimikatz-Entwickler Benjamin Delpy nun herausgefunden haben, werden bei der Erstellung von Volumenschattenkopien (dem Standardwerkzeug zur Erstellung von Snapshots unter Windows, um ggfs. bestimmte Versionsstände wiederherzustellen) fehlerhafte Berechtigungen auf eben jene Datei gesetzt, die es nicht-administrativen Benutzern ermöglichen, die SAM Datenbank auszulesen. Unter Verwendung dieser Daten können die darin enthaltenen Passwörter zum Beispiel mithilfe von Mimikatz für sogenannten "Pass the Hash"- oder "Silver Ticket"-Angriffe verwendet werden.

Das Problem tritt aktuell nicht bei jedem System auf. So sollen Domänenmitglieder seltener betroffen sein als Installationen außerhalb einer Domäne. Bei den aktuellsten ISO-Installationen soll die Schwachstelle ebenfalls nicht auftreten.

Prüfung der Schwachstelle

Ob ein System verwundbar ist, lässt sich am besten mit dem Befehl

icacls c:\windows\system32\config\sam

feststellen. In der Schattenkopie wären hier dann die "RX"-Rechte gesetzt.

Workaround

Aktuell hat Microsoft noch kein Update für die als CVE-2021-36934 bekannte Schwachstelle herausgegeben, dafür allerdings die Github Site mit einem PoC für den Angriff in ihrem Browser "Edge" als "unsicher" gesperrt.

Als Workaround können die betreffenden Dateien vorerst mit einer Anpassung der Berechtigungen abgesichert werden.
Dies kann einzeln für die Dateien erfolgen:

icacls %windir%\system32\config\sam /remove "Users"
icacls %windir%\system32\config\security /remove "Users"
icacls %windir%\system32\config\system /remove "Users"

oder für den gesamten Ordner:

icacls %windir%\system32\config\*.* /inheritance:e

Zusätzlich dazu wurde vor kurzem eine weitere Schwachstelle veröffentlicht, die als "Petit Potam" (kleines Flusspferd) bekannt ist. Hier ist es möglich, ein System remote dazu zu veranlassen, eine NTLM Authentication zu starten und somit NTLM Anmeldeinformationen zu erhalten, die es einem Angreifer ebenfalls ermöglichen, Passwörter zu erhalten oder Passworthashes für eine "Relay-Attacke" zu verwenden.

Hier empfiehlt Microsoft bei NTLM basierten Installationen EPA (Extensible Protection for Authentication) oder SMB Signing zu aktivieren.

Security Announcement: HiveNightmare & Petit Potam

Zurück

News

Umfrage zum besten IT-Dienstleister 2023

Ihre Meinung ist uns wichtig!

magellan erhält den Silber-Award bei den Service Provider Awards 2023

Die Auszeichnung würdigt die Kompetenz und den exzellenten Service der magellan in der Kategorie Managed Security

Security Announcement: Fortinet

Wichtiger Sicherheitshinweis zu Schwachstellen bei Fortinet

Security Announcement: Fortinet

Wichtiger Sicherheitshinweis zu kritischen und hochriskanten Lücken bei Fortinet

Security Announcement: Microsoft Exchange

Wichtiger Sicherheitshinweis zu neuem Sicherheitsfeature von Microsoft für Exchange Server

Network Competence Days 2023

Die Highlights unserer Network Competence Days 2023

Alle News

Das FERNAO-Netzwerk

Durch den Zusammenschluss der Unternehmen profitieren Kunden von ganzheitlichen IT-Lösungen aus einer Hand – professionell und spezialisiert auf Ihre Projekte abgestimmt.

Mehr erfahren
Folgen Sie uns:
facebook twitter youtube linkedin xing instagram