Neue Infos zur Windows 10-Schwachstelle HiveNightmare

[English]Microsoft hat die Sicherheitshinweise zur HiveNightmare genannten Schwachstelle in Windows 10 (ab Version 1809) diese Woche revidiert. Zudem liegt mir von Sophos eine Analyse der Schwachstelle vor. Und Sicherheitsforscher Kevin Beaumont hatte auf GitHub ein Proof-of-Concept samt Beschreibung gepostet, wurde dann aber von einem Ex-Arbeitgeber Microsoft kurzzeitig mit der GitHub-Seite gesperrt. Ein kurzer Überblick über diese Themen.

Die HiveNightmare-Schwachstelle

In Windows 10 gibt es ab der Version 1809 eine gravierende Schwachstelle CVE-2021-36934, die das Auslesen der Security Accounts Manager (SAM)-Datenbank über VSS-Schattenkopien ermöglicht. Das eröffnet lokalen Angreifern die Möglichkeit, sich Privilegien von Administratoren zu verschaffen und sich ggf. in Netzwerken zu bewegen. Ich hatte hier im Blog in diversen Beiträgen (siehe Artikelende) sowie bei heise in diesem Artikel berichtet.

Microsoft revidiert Sicherheitshinweis

Microsoft hat den Sachverhalt zu CVE-2021-36934 inzwischen eingestanden, hat diesen Artikel inzwischen aber mehrfach aktualisiert – letztmalig am 23. Juli 2021. Hier die Revisionen zum 21. Juli 2021.

*******************************************************************
Title: Microsoft Security Update Revisions
Issued: July 21, 2021
*******************************************************************

Summary
=======

The following CVE has undergone informational revisions.

=====================================================================

* CVE-2021-36934

– CVE-2021-36934 | Windows Elevation of Privilege Vulnerability
– Version: 1.1
– Reason for Revision: Updated Workaround information. This is an informational
change only.
– Originally posted: July 20, 2021
– Updated: July 20, 2021
– Aggregate CVE Severity Rating: N/A

– CVE-2021-36934 | Windows Elevation of Privilege Vulnerability
– Version: 2.0
– Reason for Revision: CVE updated as follows: 1) In the Security Updates table,
affected versions of Windows have been added. 2) Workaround updated to include
a link to information on how to delete shadow copies. 3) FAQ removed as it is
no longer applicable. This CVE will be updated when more information or
updates are available.
– Originally posted: July 20, 2021
– Updated: July 21, 2021
– Aggregate CVE Severity Rating: Important

Sophos-Analyse zu HiveNightmare

Die Woche hat Sicherheitsanbieter Sophos den Beitrag Windows "HiveNightmare" bug could leak passwords – here's what to do! mit einer Analyse des Sachverhalts und einer Beschreibung veröffentlicht. Die Sophos-Leute haben auch ein kleines Programm geschrieben, um das Ganze auszunutzen, geben aber auch Hinweise, was man tun kann, um die Schwachstelle zu schließen.

Microsoft blockt HiveNightmare-GitHub-Seite

Sicherheitsforscher Kevin Beaumont hatte auf GitHub eine Seite zu HiveNightmare aufgesetzt, auf der er einigen Tools und auch eine Erklärung veröffentlichte. Wie nachfolgender Tweet zeigt, wurde der Zugriff auf diese Webseite durch den Microsoft Smartscreen-Filter in Edge blockiert. Die Blockade erfolgte wohl weitgehend wegen der HiveNightmare-Beschreibung.

Der Brite Beaumont war übrigens kurzzeitig als Sicherheitsforscher auch bei Microsoft beschäftigt, hat das Unternehmen aber nach wenigen Monaten wieder verlassen.

Ähnliche Artikel:
Windows 10: SAM-Zugriffsrechte ab 1809 nach Upgrade kaputt, Benutzerzugriff möglich
HiveNightmare: Neue Details zur Windows-Schwachstelle CVE-2021-36934