Neue Infos zur Windows 10-Schwachstelle HiveNightmare

Sicherheit (Pexels, allgemeine Nutzung)[English]Microsoft hat die Sicherheitshinweise zur HiveNightmare genannten Schwachstelle in Windows 10 (ab Version 1809) diese Woche revidiert. Zudem liegt mir von Sophos eine Analyse der Schwachstelle vor. Und Sicherheitsforscher Kevin Beaumont hatte auf GitHub ein Proof-of-Concept samt Beschreibung gepostet, wurde dann aber von einem Ex-Arbeitgeber Microsoft kurzzeitig mit der GitHub-Seite gesperrt. Ein kurzer Überblick über diese Themen.


Anzeige

Die HiveNightmare-Schwachstelle

In Windows 10 gibt es ab der Version 1809 eine gravierende Schwachstelle CVE-2021-36934, die das Auslesen der Security Accounts Manager (SAM)-Datenbank über VSS-Schattenkopien ermöglicht. Das eröffnet lokalen Angreifern die Möglichkeit, sich Privilegien von Administratoren zu verschaffen und sich ggf. in Netzwerken zu bewegen. Ich hatte hier im Blog in diversen Beiträgen (siehe Artikelende) sowie bei heise in diesem Artikel berichtet.

Microsoft revidiert Sicherheitshinweis

Microsoft hat den Sachverhalt zu CVE-2021-36934 inzwischen eingestanden, hat diesen Artikel inzwischen aber mehrfach aktualisiert – letztmalig am 23. Juli 2021. Hier die Revisionen zum 21. Juli 2021.

*******************************************************************
Title: Microsoft Security Update Revisions
Issued: July 21, 2021
*******************************************************************

Summary
=======


Anzeige

The following CVE has undergone informational revisions.

=====================================================================

* CVE-2021-36934

– CVE-2021-36934 | Windows Elevation of Privilege Vulnerability
– Version: 1.1
– Reason for Revision: Updated Workaround information. This is an informational
change only.
– Originally posted: July 20, 2021
– Updated: July 20, 2021
– Aggregate CVE Severity Rating: N/A

CVE-2021-36934 | Windows Elevation of Privilege Vulnerability
– Version: 2.0
– Reason for Revision: CVE updated as follows: 1) In the Security Updates table,
affected versions of Windows have been added. 2) Workaround updated to include
a link to information on how to delete shadow copies. 3) FAQ removed as it is
no longer applicable. This CVE will be updated when more information or
updates are available.
– Originally posted: July 20, 2021
– Updated: July 21, 2021
– Aggregate CVE Severity Rating: Important

Sophos-Analyse zu HiveNightmare

Die Woche hat Sicherheitsanbieter Sophos den Beitrag Windows "HiveNightmare" bug could leak passwords – here's what to do! mit einer Analyse des Sachverhalts und einer Beschreibung veröffentlicht. Die Sophos-Leute haben auch ein kleines Programm geschrieben, um das Ganze auszunutzen, geben aber auch Hinweise, was man tun kann, um die Schwachstelle zu schließen.

Microsoft blockt HiveNightmare-GitHub-Seite

Sicherheitsforscher Kevin Beaumont hatte auf GitHub eine Seite zu HiveNightmare aufgesetzt, auf der er einigen Tools und auch eine Erklärung veröffentlichte. Wie nachfolgender Tweet zeigt, wurde der Zugriff auf diese Webseite durch den Microsoft Smartscreen-Filter in Edge blockiert. Die Blockade erfolgte wohl weitgehend wegen der HiveNightmare-Beschreibung.

Der Brite Beaumont war übrigens kurzzeitig als Sicherheitsforscher auch bei Microsoft beschäftigt, hat das Unternehmen aber nach wenigen Monaten wieder verlassen.

Ähnliche Artikel:
Windows 10: SAM-Zugriffsrechte ab 1809 nach Upgrade kaputt, Benutzerzugriff möglich
HiveNightmare: Neue Details zur Windows-Schwachstelle CVE-2021-36934


Anzeige

Dieser Beitrag wurde unter Sicherheit, Windows 10 abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

3 Antworten zu Neue Infos zur Windows 10-Schwachstelle HiveNightmare

  1. Olaf Hess sagt:

    Hallo Günter,

    wie ich festelle … bist Du auch ein "Late Night Worker" (!)

    Jedoch solltest Du Deine Thesen auch einer Prüfung unterziehen. Die von Dir beschriebene "Blockade" extiert nicht.

    Stand 24..07.2021 03:19 Uhr: der beschriebene Link "https://github.com/GossiTheDog/HiveNightmare" ist ohne Blockade verfügbar (!)

    • Luzifer sagt:

      Mit dem Edge und aktiven Smartscreen Filter schon … zeigt aber eindeutig wie "dumm" MS ist … jeder anderer Browser funktioniert … voll sinnvoll den im Edge zu sperren NOT!

      Wobei du natürlich auch recht hast ist ja nicht wirklich ne Blockade sondern ein Sicherheitshinweis, den man mit weiter zur unsicheren Seite ja auch folgen kann!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.