HiveNightmare: Neue Windows 10-Schwachstelle CVE-2021-36934

Zur Info: In Windows 10 gibt es ab Version 1809 einen gravierenden Bug. Die ACLs auf die Hives mit den Informationen in der Registry werden falsch gesetzt. Das führt dazu, dass jeder Benutzer den Inhalt der Security Accounts Manager (SAM)-Datenbank über deren VSS-Schattenkopien auslesen kann. Mit Tools wie mimikatz und pass-the-hash lassen sich diese Informationen zur Rechteauswertung missbrauchen.

Ich hatte gestern bereits die ersten Hinweise in einem Blog-Beitrag zusammen getragen. Sowohl Microsoft als auch das US-CERT haben die Nacht Sicherheitshinweise verfasst. Daher gibt es einen Nachtragsartikel im Blog - ein Beitrag für den heise Newsticker ist raus. Als Workaround ließen sich die ACLs für die betreffenden Dateien per GPO setzen.

HiveNightmare: Neue Details zur Windows-Schwachstelle CVE-2021-36934

Content-Key: 1066687503

Url: https://administrator.de/contentid/1066687503

Ausgedruckt am: 27.07.2021 um 18:07 Uhr

Mitglied: emeriks
emeriks 21.07.2021 aktualisiert um 12:30:40 Uhr
Goto Top
Hi,
ich habe das Setzen der NTFS-Berechtigungen per GPO umgesetzt und es funktioniert.

Der Eintrag dazu in der GptTmpl.inf unter "[File Security]" lautet
E.

Edit:
Oder wenn man eine extra GPO für nur dafür schreiben will:
Der komplette Inhalt der INF

Das entspricht:

2021-07-21 12_14_00-clipboard

Ergebnis:

clipboard - 21 juli 2021, 11_55

Exakt das gleich Ergebnis, welches man mit dem von MS angegeben Workaround erreicht.
Mitglied: DerWoWusste
DerWoWusste 21.07.2021 aktualisiert um 14:56:36 Uhr
Goto Top
@emeriks
Und nun sag mir, was hat die Gruppe "Alle Anwendungspakete" für eine Relevanz hier? Muss sie drauf sein (hier ist sie es nicht)?
Stellt sie ein Risiko dar, spricht, könnte ein Nichtadmin dieses Konto impersonaten?
Mitglied: dertowa
dertowa 21.07.2021 aktualisiert um 21:52:27 Uhr
Goto Top
Zitat von @kgborn:

Zur Info: In Windows 10 gibt es ab Version 1809 einen gravierenden Bug. Die ACLs auf die Hives mit den Informationen in der Registry werden falsch gesetzt.

Hey,
ich hatte das heute in deinem Blog schon entdeckt und wundere mich doch manchmal über die "Panikmache".
Natürlich es ist ein Problem, Sicherheitsleck wie auch immer, aber stutzig machen mich dann solche Sachen:

Im Blog steht:
Zur Schwachstelle gibt es die Erkenntnis, dass ab Windows 10 Version 1809 die Access Control Lists (ACLs) mit den Berechtigungen für die Hive-Dateien:

c:\Windows\System32\config\sam
c:\Windows\System32\config\system
c:\Windows\System32\config\security

in manchen Szenarien fehlerhaft gesetzt werden. Dann werden der Gruppe der Standardbenutzer Leserechte auf diese Dateien gewährt.

Mich würden jetzt diese Szenarien interessieren, denn weder in meinen System (Privatumgebung mit Domainanbindung), noch auf Systemen ohne Domain, noch auf den Firmensystemen habe ich Leserecht der Gruppe Standardbenutzer entdecken können.

Demnach bin ich nirgends davon betroffen und da stellt sich natürlich die Frage was bedeutet "in machen Szenarien" und wie dramatisch ist es überhaupt...

P.S.: Hinzu kommt, dass mein System auch beim Zugriff auf den config-Ordner Adminberechtigungen haben will.
Demnach müsste doch eine Schadsoftware die darauf abzielt auch als Admin ausgeführt werden, oder irre ich da?
Mitglied: emeriks
emeriks 22.07.2021 um 00:08:05 Uhr
Goto Top
Zitat von @DerWoWusste:
@emeriks
Und nun sag mir, was hat die Gruppe "Alle Anwendungspakete" für eine Relevanz hier? Muss sie drauf sein (hier ist sie es nicht)?
Stellt sie ein Risiko dar, spricht, könnte ein Nichtadmin dieses Konto impersonaten?
Diese ist im Original in der ACL des Ordners C:\Windows\System32\Config. Diese habe ich 1:1 in die GPO übernommen.
Das Problem ist ja auch nicht die ACL des Ordners sondern der Dateien darin. "Alle Anwendungspakete" wird nicht an die Dateien vererbt.
Mitglied: emeriks
emeriks 22.07.2021 um 00:10:49 Uhr
Goto Top
@dertowa:
Bei uns war es so gewesen, dass die BuiltIn-Gruppe "Benutzer" für die Dateien im Ordner "Config" Lese-Rechte hatte.

Es schadet nichts, das per GPO umzusetzen. Es beugt aber vor, falls Du dann morgen von diesem Szenario betroffen sein solltest.
Mitglied: DerWoWusste
DerWoWusste 22.07.2021 um 09:33:35 Uhr
Goto Top
Diese ist im Original in der ACL des Ordners C:\Windows\System32\Config.
Wie gesagt: bei mir nicht.
Mitglied: C.R.S.
C.R.S. 22.07.2021 um 16:46:27 Uhr
Goto Top
Das Problem kann ich sowohl auf einem einzelnen 1909 Professional, zu dem ich kein Installationsmedium habe, als auch auf neu installierten 21H1 Enterprise feststellen.
Bei den 21H1 Enterprise sind nur die als solche installierten Versionen betroffen; ebenfalls vorhandene 21H1, die von 20H2 aktualisiert worden waren, sind nicht betroffen.

Ein Blick ins Image bestätigt dies, oben 21H1 und unten 20H2:
unbenannt

Es handelt sich jeweils um ESD-Images des Media Creation Tools aus Dezember 2020 bzw. Juni 2021. Die Enterprise-Wim wurde zu Diagnosezwecken extrahiert.

Grüße
Richard
Mitglied: kgborn
kgborn 24.07.2021 aktualisiert um 02:36:40 Uhr
Goto Top
@dertowa: Wundern darfst Du dich gerne - ob es Panikmache ist, mag jeder selbst entscheiden. Der Umstand, dass Du nicht betroffen bist (warum auch immer, die Szenarien sind prinzipiell im Blog beschrieben, warum es bei einigen Domain-Membern nicht der Fall ist, wenn die 20H2 mal außen vor ist, weiß ich nicht), ändert nicht daran, dass der Fehler auftritt, von Microsoft bestätigt und in der Einschätzung bzw. in den Workarounds vom 20. bis 23. Juli 2021 inzwischen mehrfach revidiert wurde.

Ich stelle die Informationen im Blog ein, handeln muss jeder selbst - ist nicht mein Job, eure Arbeit zu machen. Der Bug, zusammen mit Mimikatz und Pass-the-Hash ist ein wunderbares Einfallstor, um seine Malware unter Standardkonten eine Rechteausweitung zu gewähren. Was Du dann in deinem Umfeld draus machst, ist deine Sache. Wenn Du nicht betroffen bist, fein. Inzwischen haben sich ja einige Leute gemeldet, die betroffen sind ;-) face-wink.

Wo ich dir Recht gebe: Bisher ist kein Fall bekannt, wo das ausgenutzt wird. Falls das Kind aber irgendwann in den Brunnen gefallen ist, schauen die Betroffenen betröppelt aus der Wäsche.
Mitglied: DerWoWusste
DerWoWusste 24.07.2021 aktualisiert um 11:54:53 Uhr
Goto Top
Hinzu kommt, dass mein System auch beim Zugriff auf den config-Ordner Adminberechtigungen haben will.
Demnach müsste doch eine Schadsoftware die darauf abzielt auch als Admin ausgeführt werden, oder irre ich da?
Ja, da irrst du. Da die Datei SAM unterhalb von config ja stets geöffnet und somit eh gesperrt ist, erfolgt der Angriff gegen die Schattenkopie der Datei, falls es diese gibt. Und dazu sind, wenn man denn betroffen ist, keine Adminrechte erforderlich. Du kannst die SAM somit kopieren und/oder Hashes sofort verwerten, um Identitäten anzunehmen oder auch das Kennwort des lokalen Admins zu ändern. Wenn du dabei Methoden verwendest, die der Virenscanner nicht kennt, hast du gewonnen.
Mitglied: Drohnald
Drohnald 25.07.2021 aktualisiert um 19:56:26 Uhr
Goto Top
Nachdem man sowieso noch die VSS Kopien löschen muss, reicht das Setzen der Berechtigungen nicht aus, die alten VSS müssen auch gelöscht werden.
Hier ein kurzes (hingepfuschtes) Powershell-Skript was aber klappt. Einfach als GPO bei startup raushaun und wenn die Clients regelmäßig neu starten sollte das passen:

Heiß diskutierte Beiträge
question
Zentrale Lösung für Antivirus, Patchmanagement, Monitoring in einem?Andre82msVor 1 TagFrageSicherheits-Tools24 Kommentare

Hallo Zusammen, ich suche schon seit längerem eine gute Lösung, welche ein gut funktionierendes Patchmanagement, Anti-Virenscanner mit EDR sowie ein Monitoring in einem Dashboard beinhaltet ...

question
Mitarbeiter ab gewisser Uhrzeit am arbeiten hindern gelöst passy951Vor 1 TagFrageWindows Netzwerk22 Kommentare

Guten Morgen zusammen, ich wurde gestern von unseren Betriebsrat gefragt ob es möglich ist ab z.B. 20 Uhr die Mitarbeiter daran zu hindern zu arbeiten. ...

question
Signatur-Programm gesuchtArchanVor 2 TagenFrageOutlook & Mail20 Kommentare

Hi zusammen, vorab als Info: Wir haben eine Mischung aus Office365 und 2016, sowie einen Exchange 2016 Server. Ich bin nun auf der Suche nach ...

question
Domänencontroller von Windows Server 2016 auf Windows Server 2019 migrierenEstefaniaVor 20 StundenFrageWindows Server27 Kommentare

Hi. Kann mir ein Admin bei folgendem Problem weiterhelfen !? Wir haben insgesamt 5 Domänencontroller, die auf einem Windows Server 2016 laufen. Nun ist es ...

question
Wie lange kann ein PC in der Domain ohne Kontakt zur Domain betrieben werden?DaxAtDS9Vor 1 TagFrageNetzwerkmanagement16 Kommentare

Hallo, bis vor einer Woche habe ich einen SBS2011 Server inkl. AD etc. in Betrieb gehabt. Nun habe ich ihn abgeschaltet und nutze einer der ...

question
Mikrotik vs. Unify - Warum mögt Ihr Unify nicht? gelöst tagol.deVor 1 TagFragePeripheriegeräte10 Kommentare

Hallo immer wieder lese ich, das hier auf Administrator.de Mikrotik bevorzugt wird. Aktuell habe ich zuhause 2 AP von Unify + Controller auf einem Rasberry ...

question
Home-Office Laptop kann DNS nicht auflösenLubosNovyVor 1 TagFrageWindows Netzwerk16 Kommentare

Hallo zusammen, Situation: Manche Kolleginnen arbeiten im Home-Office und sind über Sophos SSL Client verbunden. Die Notebooks sind von mir vorbereitet, in die Domänen aufgenommen ...

question
Domänenbeitritt verhindern gelöst grmg2010Vor 13 StundenFrageWindows 1017 Kommentare

Guten Abend zusammen, ich befasse mich gedanklich mit dem Thema Windows Domäne. Dazu ein hypothetisches Beispiel zu dem ich keine wirkliche Lösung bei meiner Suche ...