{"id":255883,"date":"2021-07-21T03:37:48","date_gmt":"2021-07-21T01:37:48","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=255883"},"modified":"2021-07-24T00:51:14","modified_gmt":"2021-07-23T22:51:14","slug":"hivenightmare-neue-details-zur-windows-schwachstelle-cve-2021-36934","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/07\/21\/hivenightmare-neue-details-zur-windows-schwachstelle-cve-2021-36934\/","title":{"rendered":"HiveNightmare: Neue Details zur Windows-Schwachstelle CVE-2021-36934"},"content":{"rendered":"

\"Windows\"[English<\/a>]In Windows 10 gibt es ja ab der Version 1809 eine gravierende Schwachstelle CVE-2021-36934, die das Auslesen der Security Accounts Manager (SAM)-Datenbank \u00fcber VSS-Schattenkopien erm\u00f6glicht. Das er\u00f6ffnet lokalen Angreifern die M\u00f6glichkeit, sich Privilegien von Administratoren zu verschaffen und sich ggf. in Netzwerken zu bewegen. Inzwischen wird das Potential und der Kreis der betroffenen Maschinen klarer, weshalb ich diesen Nachfolgeartikel ver\u00f6ffentliche.<\/p>\n

<\/p>\n

Die HiveNightmare-Schwachstelle CVE-2021-36934<\/h2>\n

\"\"Im gestrigen Beitrag Windows 10: SAM-Zugriffsrechte ab 1809 nach Upgrade kaputt, Benutzerzugriff m\u00f6glich<\/a> hatte ich erste Erkenntnisse zur von Sicherheitsforscher Jonas Lyk<\/a> entdeckten Schwachstelle in Windows im Blog ver\u00f6ffentlicht. Zu dieser Zeit wurde der Sachverhalt mit Kevin Beaumont und Benjamin Delpi erst f\u00fcr kurze Zeit auf Twitter diskutiert. Mir waren beim Schreiben des Artikels weder der Umfang der betroffenen Maschinen noch die Folgen der Schwachstelle klar. Inzwischen gibt es zahlreiche R\u00fcckmeldungen aus der Leserschaft, und sowohl Microsoft als auch das US-CERT haben Sicherheitswarnungen ver\u00f6ffentlicht.<\/p>\n

Sicherheitsforscher Kevin Beaumont bezeichnet die Schwachstelle als HiveNightmare – eine Anlehnung an die als PrintNightmare bezeichnete Schwachstelle im Windows Print-Spooler-Dienst. Hive ist der englische Name f\u00fcr die Strukturdateien f\u00fcr die Windows-Registry. Insgesamt existieren im Ordner C:\\Windows\\system32\\config f\u00fcnf Dateien SYSTEM, SECURITY, SAM, DEFAULT und SOFTWARE. Beaumont hatte bereits gestern ein Tool ver\u00f6ffentlicht, mit dem sich die Security Access Management (SAM) Datenbank dumpen l\u00e4sst.<\/p><\/blockquote>\n

Zur Schwachstelle gibt es die Erkenntnis, dass ab Windows 10 Version 1809 die Access Control Lists (ACLs) mit den Berechtigungen f\u00fcr die Hive-Dateien:<\/p>\n

c:\\Windows\\System32\\config\\sam
\nc:\\Windows\\System32\\config\\system
\nc:\\Windows\\System32\\config\\security<\/p>\n

in manchen Szenarien fehlerhaft gesetzt werden. Dann werden der Gruppe der Standardbenutzer Leserechte auf diese Dateien gew\u00e4hrt. Liegen Volumen-Schattenkopie (VSS shadow copy) des Systemlaufwerks vor, kann ein nicht privilegierter Nutzer diese Dateien auslesen, was insbesondere f\u00fcr die Security Accounts Manager (SAM)-Datenbank fatal ist.<\/p>\n

Sicherheitswarnung des US-CERT und von Microsoft<\/h2>\n

Seit der Ver\u00f6ffentlichung meines gestrigen Artikels hat Microsoft den Sicherheitshinweis CVE-2021-36934<\/a> ver\u00f6ffentlicht. Darin wird eine Windows Elevation of Privilege-Schwachstelle best\u00e4tigt, die eine lokale Rechteerweiterung erm\u00f6glicht.<\/p>\n

* CVE-2021-36934<\/p>\n

CVE-2021-36934<\/a> | Windows Elevation of Privilege Vulnerability
\n– Version: 1.0
\n– Reason for Revision: Information published.
\n– Originally posted: July 20, 2021
\n– Updated: N\/A
\n– Aggregate CVE Severity Rating: N\/A<\/p>\n

Die Schwachstelle, die diese Erh\u00f6hung der Berechtigungen erm\u00f6glicht, besteht aufgrund von zu freiz\u00fcgigen Zugriffskontrolllisten (ACLs) in mehreren Systemdateien, einschlie\u00dflich der Security Accounts Manager (SAM)-Datenbank. Ein Angreifer, der diese Sicherheitsl\u00fccke erfolgreich ausnutzt, k\u00f6nnte, so Microsoft im Sicherheitshinweis, beliebigen Code mit SYSTEM-Rechten ausf\u00fchren.<\/p>\n

Ein Angreifer k\u00f6nnte dann Programme installieren, Daten anzeigen, \u00e4ndern oder l\u00f6schen oder neue Konten mit vollen Benutzerrechten erstellen. Der Angreifer muss die M\u00f6glichkeit haben, Code auf einem Opfersystem auszuf\u00fchren, um diese Sicherheitsl\u00fccke auszunutzen. Eine Ausnutzung ist Microsoft nicht bekannt, das Unternehmen untersucht aber noch die Angelegenheit.<\/p>\n

Die Sicherheitswarnung des US-CERT<\/a> ist da viel aussagekr\u00e4ftiger. Will Dormann, der als Analyst f\u00fcr das CERT arbeitet, hat sich mit der Schwachstelle befasst und mit den oben erw\u00e4hnten Sicherheitsforschern ausgetauscht. Das US-CERT schreibt, dass eine Volumen-Schattenkopie (VSS shadow copy) des Systemlaufwerks einem nicht privilegierten Benutzer den Zugriff u.a. auf diese Dateien (wie die SAM) erm\u00f6glicht, was unter anderem f\u00fcr folgende Szenarien verwendet werden kann.<\/p>\n