4
SAM-Hive Backdoor?
Guten Morgen.
Ich habe mich rein aus Interesse unter Windows mit der SAM beschäftigt und dabei untersucht, wie man das Kennwort eines lokalen Kontos auf "leer" setzen kann.
Das es geht, war mir auch schon vorher bekannt. Was ich noch nicht wusste, ist, dass man dafür ein Flag setzen kann, welches man auch zurücknehmen kann, ohne dass irgendwas dabei inkonsistent wird. Es ist also nicht nötig, das bisherige Kennwort zu überschreiben. Das verwundert mich sehr.
Also: Jemand mit lokalen Adminrechten will als anderer, lokaler Nutzer handeln (warum auch immer) und kann dies ohne Kenntnis des Kennwortes tun und es wird auch nicht nachträglich auffallen, da er alles rückgängig machen kann, so dass das alte Kennwort wieder gilt.
Meine Frage: warum könnte Microsoft so eine Möglichkeit eingebaut haben? Das kommt sicherheitstechnisch einer Backdoor gleich und ich sehe außer "Schindluder treiben" überhaupt keinen legitimen Anwendungsfall. Ich hätte erwartet, dass man das Kw. eines lokalen Kontos zwar als Admin löschen kann, aber es keine Möglichkeit gibt, diese Löschung auch zu vertuschen.
Bitte versucht mich nicht aufzuklären über Sicherheitsprinzipien. Mir ist sehr wohl klar, dass lokale Nutzer für moderne Sicherheitskonzepte keine Rolle spielen dürfen und dass auch die SAM-Mechanismen uralt sind und deshalb selbtverständlich nicht auf Integritätsprüfung optimiert wurden.
Ich frage lediglich, ob jemandem zufällig bekannt ist, warum das so möglich gemacht wurde, da ich vorher noch nie davon gehört habe.
Ich habe mich rein aus Interesse unter Windows mit der SAM beschäftigt und dabei untersucht, wie man das Kennwort eines lokalen Kontos auf "leer" setzen kann.
Das es geht, war mir auch schon vorher bekannt. Was ich noch nicht wusste, ist, dass man dafür ein Flag setzen kann, welches man auch zurücknehmen kann, ohne dass irgendwas dabei inkonsistent wird. Es ist also nicht nötig, das bisherige Kennwort zu überschreiben. Das verwundert mich sehr.
Also: Jemand mit lokalen Adminrechten will als anderer, lokaler Nutzer handeln (warum auch immer) und kann dies ohne Kenntnis des Kennwortes tun und es wird auch nicht nachträglich auffallen, da er alles rückgängig machen kann, so dass das alte Kennwort wieder gilt.
Meine Frage: warum könnte Microsoft so eine Möglichkeit eingebaut haben? Das kommt sicherheitstechnisch einer Backdoor gleich und ich sehe außer "Schindluder treiben" überhaupt keinen legitimen Anwendungsfall. Ich hätte erwartet, dass man das Kw. eines lokalen Kontos zwar als Admin löschen kann, aber es keine Möglichkeit gibt, diese Löschung auch zu vertuschen.
Bitte versucht mich nicht aufzuklären über Sicherheitsprinzipien. Mir ist sehr wohl klar, dass lokale Nutzer für moderne Sicherheitskonzepte keine Rolle spielen dürfen und dass auch die SAM-Mechanismen uralt sind und deshalb selbtverständlich nicht auf Integritätsprüfung optimiert wurden.
Ich frage lediglich, ob jemandem zufällig bekannt ist, warum das so möglich gemacht wurde, da ich vorher noch nie davon gehört habe.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 2099577351
Url: https://administrator.de/contentid/2099577351
Printed on: May 14, 2024 at 17:05 o'clock
4 Comments
Latest comment
Morgen DWW!
Du stellst da eine sehr gute Frage. Der einzige Punkt den ich für einigermaßen Vertretbar halten würde wäre Impersonation. Jedoch sollte es dafür eigentlich gesonderte Wege/Mechanismen geben. (Gibt es AFAIK und schreibt entsprechend Einträge im Sicherheits-Eventlog.)
Meine Hoffnung ist, dass diese Möglichkeit ein Kennwort via Flag ausser Kraft zu setzen, jediglich eine Altlast ist. Dann ist es aber immer noch grob fahrlässig, dass dies noch nicht abgeschafft wurde.
Schönen Gruß,
@Snowman25
Du stellst da eine sehr gute Frage. Der einzige Punkt den ich für einigermaßen Vertretbar halten würde wäre Impersonation. Jedoch sollte es dafür eigentlich gesonderte Wege/Mechanismen geben. (Gibt es AFAIK und schreibt entsprechend Einträge im Sicherheits-Eventlog.)
Meine Hoffnung ist, dass diese Möglichkeit ein Kennwort via Flag ausser Kraft zu setzen, jediglich eine Altlast ist. Dann ist es aber immer noch grob fahrlässig, dass dies noch nicht abgeschafft wurde.
Schönen Gruß,
@Snowman25
Hi DWW,
ich kann Dir nicht sagen, warum MS da solch eine Hintertür einbaut. Ich nehme an, das geht nur offline? Wenn man an die HDD ran kommt?
Jedenfalls weiß - und nutze - ich, dass ein lokaler Admin Prozesse als SYSTEM starten kann, welche dann in jeder laufenden Sitzung mit den Berechtigungen des dort angemeldeten Benutzers andere Prozesse starten können. z.B. auch über Powershell oder Wscript ein Script ausführen, welches dann im Namen dieses Benutzer Schindluder betreibt, um bei Deinen Worten zu bleiben
. So gesehen also nichts neues.
E.
ich kann Dir nicht sagen, warum MS da solch eine Hintertür einbaut. Ich nehme an, das geht nur offline? Wenn man an die HDD ran kommt?
Jedenfalls weiß - und nutze - ich, dass ein lokaler Admin Prozesse als SYSTEM starten kann, welche dann in jeder laufenden Sitzung mit den Berechtigungen des dort angemeldeten Benutzers andere Prozesse starten können. z.B. auch über Powershell oder Wscript ein Script ausführen, welches dann im Namen dieses Benutzer Schindluder betreibt, um bei Deinen Worten zu bleiben
. So gesehen also nichts neues.E.
@emeriks
Moin. Ja, du kannst mit Skripten im Hintergrund als der Nutzer handeln, aber das bleibt ein ganz anderes Ding, da es mit dem passenden Logging nachweisbar ist. Das andere ist nicht nachweisbar, wenn man es offline durchführt.
Die Änderung an der SAM geht als Systemkonto auch online (aber auch da würde, wenn man Registry-Auditing aktiv hat natürlich geloggt).
Nun gut, ich bitte erst einmal von Diskussionen abzusehen und nur, wenn jemand Details zu diesem Design wissen sollte, fortzufahren.
Moin. Ja, du kannst mit Skripten im Hintergrund als der Nutzer handeln, aber das bleibt ein ganz anderes Ding, da es mit dem passenden Logging nachweisbar ist. Das andere ist nicht nachweisbar, wenn man es offline durchführt.
Die Änderung an der SAM geht als Systemkonto auch online (aber auch da würde, wenn man Registry-Auditing aktiv hat natürlich geloggt).
Nun gut, ich bitte erst einmal von Diskussionen abzusehen und nur, wenn jemand Details zu diesem Design wissen sollte, fortzufahren.
Bin etwas schlauer. Die beiden "Flags", wie ich sie nannte sind Teile eines reg-binary-Eintrags. Und an diesen beiden Stellen steht eben die Länge der Kennwort-Hashes (ntlm- und lm-Hash). Setzt man die auf Null, so schaut sich der Login-Prozess den pw-Hash nicht einmal mehr an, das ist der Witz, warum das alles so funktioniert.
Also braucht der Login-Prozess offenbar diese Längenangabe zwingend. Das wäre dann die Erklärung. Dass dieses Design natürlich eine Gefahr birgt, wird in Kauf genommen, vermutlich, weil eh nur Admins da ran dürfen... Und wir sind ja vertrauenswürdig, gell? 👍
Also braucht der Login-Prozess offenbar diese Längenangabe zwingend. Das wäre dann die Erklärung. Dass dieses Design natürlich eine Gefahr birgt, wird in Kauf genommen, vermutlich, weil eh nur Admins da ran dürfen... Und wir sind ja vertrauenswürdig, gell? 👍
1