CVE-2021-36934 ("HiveNightmare"): Erhöhte Privilegien durch laxe Zugriffsrechte auf SAM-Datenbank

    SicherheitslückeMicrosoft meldet eine weitere Schwach­stelle in Windows 10 (ab 1809). Sie erlaubt es An­greifern, die Privi­legien des SYSTEM-Kontos zu er­langen. Voraus­setzung ist jedoch, dass sie berech­tigt sind, Code auf dem Rechner auszu­führen. Ursache sind zu groß­zügige Berech­tigungen für Dateien wie SAM oder SYSTEM.

    Die Schwachstelle CVE-2021-36934 ermöglicht allen Benutzern auf dem System, den Inhalt der Datenbank für den Security Accounts Manager (SAM) sowie des SYSTEM-Zweigs der Registry zu lesen. Durch Extrahieren der Passwort-Hashes könnten böswillige User ihre Privilegien über Pass the Hash erhöhen und beliebige Aktionen auf dem Rechner ausführen.

    Das Sicherheits­problem entstand durch eine unge­nügende Einschränkung der Zugriffsrechte auf mehrere System­dateien seit der Version 1809 von Windows 10. Betroffen scheint auch die Preview von Windows 11 zu sein.

    Score von 7.8

    Laut Beschreibung der Sicherheits­lücke wird das Risiko mit 7.8 aus 10 eingeschätzt. Problematisch ist vor allem, dass die erfor­derlichen Privilegien und die Komplexität eines Angriffs als niedrig gelten, zudem gibt es bereits funktions­fähigen Exploit-Code.

    Noch nicht verfügbar hingegen ist ein Patch von Microsoft. Der Hersteller empfiehlt vorerst als Sofort­maßnahme, die Datei­berechtigungen manuell zu ändern.

    Sofortmaßnahmen

    Dazu ruft man

    icacls %windir%\system32\config\*.* /inheritance:e

    in einer Eingabe­aufforderung auf.

    Nachträgliche Änderung der Vererbung von Berechtigungen auf die Systemdateien

    Startet man das Dienst­programm in PowerShell, dann muss man die Umgebungs­variable %windir% durch $env:windir ersetzen.

    Schattenkopien löschen

    Zusätzlich ist es notwendig, alle Schattenkopien auf dem System­laufwerk zu löschen. Ob überhaupt welche vorhanden sind, kann man mittels

    vssadmin List Shadows /For=C:

    herausfinden, wenn Windows auf c: installiert ist. Existieren solche Volume Shadow Copies, dann entfernt man sie mittels

    vssadmin delete shadows /for=C:

    Es liegt auf der Hand, dass man nach dem Löschen der Schatten­kopien keine Möglichkeit mehr hat, zu bisherigen Wiederher­stellungs­punkten zurück­zukehren. Die Maßnahme könnte auch Backup-Programme wie Microsofts Data Protection Manager (DPM) beeinträchtigen.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    2 Kommentare

    Karl Wester-Ebb... sagt:
    23. Juli 2021 - 10:49

    Schattenkopien / hier genauer System Restore Points sollte man abschalten. Kosten Platz, Performance und bringen nichts mehr da keine Registry mehr gesichert wird.

    shutdown script per gpo vssadmin delete shadows /For=C: /all /quiet
    und per GPO System Restore deaktivieren.

    Matthias sagt:
    23. Juli 2021 - 16:52

    Manipulation des SAM waren seit Jahrzehnten bekannt. Nur nicht auf dem Weg.
    Erst als Festplatten- oder Dateisystemverschlüsselungen sich verbreitet hatten, war das Thema Safe.
    Und nun das.