{"id":255858,"date":"2021-07-20T11:55:39","date_gmt":"2021-07-20T09:55:39","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=255858"},"modified":"2022-02-27T07:29:08","modified_gmt":"2022-02-27T06:29:08","slug":"windows-10-sam-zugriffsrechte-ab-1809-nach-upgrade-kaputt-benutzerzugriff-mglich","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/07\/20\/windows-10-sam-zugriffsrechte-ab-1809-nach-upgrade-kaputt-benutzerzugriff-mglich\/","title":{"rendered":"Windows 10: SAM-Zugriffsrechte ab 1809 nach Upgrade kaputt, Benutzerzugriff möglich"},"content":{"rendered":"

\"Windows\"[English<\/a>]Es sieht so aus, dass Windows 10 Funktionsupdates ab der Version 1809 bis hin zur aktuellen Version 21H1 die Zugriffsrechte auf die SAM-Datenbank so ver\u00e4ndern, dass nicht administrative Benutzer auf diese zugreifen k\u00f6nnen. Ursache k\u00f6nnten die Volumenschattenkopien (Shadow Copy) sein, die standardm\u00e4\u00dfig aktiviert sind. Hier erste Informationen – ich bin momentan noch etwas am sortieren.<\/p>\n

<\/p>\n

\"\"Ich bin gerade auf den nachfolgenden Tweet<\/a> von Sicherheitsforscher Kevin Beaumont aufmerksam geworden, der eine Entdeckung von Mimikatz-Entwickler Benjamin Delpy gepostet hat. Benjamin Delpy ist die letzten Wochen hier im Blog ja h\u00e4ufiger genannt worden, weil er immer wieder neue Angriffsvektoren im PrintNightmare Print-Spooler-Dienst aufgezeigt hat.<\/p>\n

\"Windows<\/a><\/p>\n

Benjamin Delpy deutet noch recht vorsichtig an, dass es so ausschaut, als ob beim einem Upgrade von Windows 10 auf eine andere Windows 10 Version ein gravierendes Sicherheitsproblem auftritt. Man m\u00f6ge pr\u00fcfen, ob die Schattenkopien f\u00fcr den Systemschutz aktiviert seien (diese ist aber standardm\u00e4\u00dfig eingeschaltet). Kevin Beaumont r\u00fcckt das dann in den Kontext: Es sieht so aus, als ob die SAM-Datenbank von Windows 10, wo auch die Nutzerkennw\u00f6rter gespeichert sind, f\u00fcr Nicht-Administratoren zugreifbar seien.<\/p>\n

\"Windows<\/a><\/p>\n

Im Moment testen die Leute rauf und runter. Die nachfolgenden Tweets fassen das Ganze ziemlich kompakt zusammen.<\/p>\n

\"Windows<\/a><\/p>\n

Jeff McJunkin hat es mit Will Dormann getestet. Ab Windows 10 Version 1809 sind die ACLs der SAM-Datenbank nach einem Upgrade so gesetzt, dass jeder Benutzer darauf zugreifen kann. Blog-Leser 1ST1 hat dann in diesem Kommentar<\/a> den obigen Tweet<\/a> verlinkt. Kevin Beaumont best\u00e4tigt, dass die Access Control Lists (ACLs) f\u00fcr die\u00a0 SAM-Datenbank unter Windows 10 falsch gesetzt werden. Jeder Standardnutzer kann wohl auf diese SAM-Datenbank zugreifen. 1ST1 schreibt dazu:<\/p>\n

Der n\u00e4chste gro\u00dfe Haufen?<\/p>\n

https:\/\/twitter.com\/GossiTheDog\/status\/1417259606384971776<\/a><\/p>\n

C:\\Windows\\System32>icacls c:\\windows\\system32\\config\\SAM
\nc:\\windows\\system32\\config\\SAM VORDEFINIERT\\Administratoren:(I)(F)
\nNT-AUTORIT\u00c4T\\SYSTEM:(I)(F)
\nVORDEFINIERT\\Benutzer:(I)(RX)
\nZERTIFIZIERUNGSSTELLE F\u00dcR ANWENDUNGSPAKETE\\ALLE ANWENDUNGSPAKETE:(I)(RX)
\nZERTIFIZIERUNGSSTELLE F\u00dcR ANWENDUNGSPAKETE\\ALLE EINGESCHR\u00c4NKTEN ANWENDUNGSPAKETE:(I)(RX)<\/p>\n

Da sollte eigentlich kein Benutzer zugreifen k\u00f6nnen. Auch SECURITY hat falsche Berechtigungen. Nachvollziehbar anscheinend seit 1809 bis 21h1.<\/p><\/blockquote>\n

Ich habe mal icacls<\/em> auf einem Windows 10 21H1 Testsystem ausf\u00fchren lassen, und bekam die gleichen Werte im Fenster der Eingabeaufforderung eines Standardbenutzers angezeigt.<\/p>\n

\"Windows<\/a><\/p>\n

Wenn ich es nicht vollst\u00e4ndig falsch interpretiere<\/a>, hat die SAM f\u00fcr normale Benutzer durch das RX-Flag Lese- und Ausf\u00fchrungszugriff. Das hei\u00dft, jeder Benutzer kann die SAM-Datenbank mit den Nutzerpassw\u00f6rtern auslesen. Der Sicherheitsbock schlummert seit Jahren in Windows 10 und niemandem ist das aufgefallen. Beaumont konnte das Problem auf seinem Windows 10 21H1 ebenfalls nachvollziehen und best\u00e4tigt, dass auch der Ordner SECURITY falsche Berechtigungen hat.<\/p>\n

Soll man reagieren?<\/h2>\n

Sicherlich fragen sich Administratoren jetzt, ob sie mal schnell die ACLs anpassen sollen, so dass die Standardnutzer keinen Zugriff mehr haben. An dieser Stelle kippe ich mal einen Hinweis von Beaumont hier rein, der schreibt:<\/p>\n

\u00dcbrigens w\u00fcrde ich nicht in Panik verfallen, es ist wie es ist. Die Anwendung von Abhilfema\u00dfnahmen, um ACLs selbst zu \u00e4ndern, kann Dinge kaputt machen, und es ist sehr wahrscheinlich, dass es sowieso schon seit Jahren so ist. Letztendlich wird MS das patchen.<\/p><\/blockquote>\n

Und er schlie\u00dft mit dem Hinweis: Gute EDR-Tools sollten SAM-Dumping-Warnungen anzeigen. Zudem verschl\u00fcsselt Microsoft ja die SAM-Eintr\u00e4ge (siehe<\/a>). Inwieweit das umgangen werden kann, vermag ich nicht zu beurteilen.<\/p>\n

Erg\u00e4nzung:<\/strong> Kevin Beaumont hat diesen HiveNightmare<\/a> Exploit auf GitHub eingestellt, um den Inhalt der SAM-Datenbank zu dumpen, wie er in diesem Tweet<\/a> mitteilt.<\/p>\n

Ich frage mich an dieser Stelle aber: Was ist mit Microsofts-Entwicklern los. Das Marketing wird nicht m\u00fcde, zu betonen, dass Windows 10 das sicherste Windows aller Zeiten ist und lobt seinen Windows as a service-Ansatz, der von einer Katastrophe in die N\u00e4chste schlittern l\u00e4sst. Vorne wird die Haust\u00fcr auf Hochglanz gepinselt, und an der Hinterfront klaffen Scheunentor gro\u00dfe Sicherheitsl\u00f6cher. Auch wenn die aktuelle Geschichte jetzt keine so gravierende Schwachstelle ist, weil Verschl\u00fcsselung etc. greift, ist das Ganze unsch\u00f6n (beachtet aber, dass sich diese erste Einsch\u00e4tzung \u00e4ndern kann, siehe auch die folgenden Kommentare). Wenn es noch eines Beispiels bedurft h\u00e4tte, dass das WaaS mit den halbj\u00e4hrlichen Funktionsupdates in der gegenw\u00e4rtigen Form schlicht gescheitert ist, w\u00e4re dies der Beleg. Oder wie seht ihr das?<\/p>\n

Erg\u00e4nzung: Es liegen inzwischen Sicherheitswarnungen von Microsoft und dem US-CERT sowie neue Erkenntnisse gegen\u00fcber obigen Ausf\u00fchrungen vor, die ich im Blog-Beitrag HiveNightmare: Neue Details zur Windows-Schwachstelle CVE-2021-36934<\/a> ver\u00f6ffentlicht habe.<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Es sieht so aus, dass Windows 10 Funktionsupdates ab der Version 1809 bis hin zur aktuellen Version 21H1 die Zugriffsrechte auf die SAM-Datenbank so ver\u00e4ndern, dass nicht administrative Benutzer auf diese zugreifen k\u00f6nnen. Ursache k\u00f6nnten die Volumenschattenkopien (Shadow Copy) sein, … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,301,3694],"tags":[4328,4378,8257],"class_list":["post-255858","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows","category-windows-10","tag-sicherheit","tag-windows-10","tag-windows-11"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/255858","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=255858"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/255858\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=255858"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=255858"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=255858"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}