HiveNightmare: Neue Windows 10-Schwachstelle CVE-2021-36934

Zur Info: In Windows 10 gibt es ab Version 1809 einen gravierenden Bug. Die ACLs auf die Hives mit den Informationen in der Registry werden falsch gesetzt. Das führt dazu, dass jeder Benutzer den Inhalt der Security Accounts Manager (SAM)-Datenbank über deren VSS-Schattenkopien auslesen kann. Mit Tools wie mimikatz und pass-the-hash lassen sich diese Informationen zur Rechteauswertung missbrauchen.

Ich hatte gestern bereits die ersten Hinweise in einem Blog-Beitrag zusammen getragen. Sowohl Microsoft als auch das US-CERT haben die Nacht Sicherheitshinweise verfasst. Daher gibt es einen Nachtragsartikel im Blog - ein Beitrag für den heise Newsticker ist raus. Als Workaround ließen sich die ACLs für die betreffenden Dateien per GPO setzen.

HiveNightmare: Neue Details zur Windows-Schwachstelle CVE-2021-36934

Content-Key: 1066687503

Url: https://administrator.de/contentid/1066687503

Ausgedruckt am: 04.08.2021 um 18:08 Uhr

Mitglied: emeriks
emeriks 21.07.2021 aktualisiert um 12:30:40 Uhr
Goto Top
Hi,
ich habe das Setzen der NTFS-Berechtigungen per GPO umgesetzt und es funktioniert.

Der Eintrag dazu in der GptTmpl.inf unter "[File Security]" lautet
E.

Edit:
Oder wenn man eine extra GPO für nur dafür schreiben will:
Der komplette Inhalt der INF

Das entspricht:

2021-07-21 12_14_00-clipboard

Ergebnis:

clipboard - 21 juli 2021, 11_55

Exakt das gleich Ergebnis, welches man mit dem von MS angegeben Workaround erreicht.
Mitglied: DerWoWusste
DerWoWusste 21.07.2021 aktualisiert um 14:56:36 Uhr
Goto Top
@emeriks
Und nun sag mir, was hat die Gruppe "Alle Anwendungspakete" für eine Relevanz hier? Muss sie drauf sein (hier ist sie es nicht)?
Stellt sie ein Risiko dar, spricht, könnte ein Nichtadmin dieses Konto impersonaten?
Mitglied: dertowa
dertowa 21.07.2021 aktualisiert um 21:52:27 Uhr
Goto Top
Zitat von @kgborn:

Zur Info: In Windows 10 gibt es ab Version 1809 einen gravierenden Bug. Die ACLs auf die Hives mit den Informationen in der Registry werden falsch gesetzt.

Hey,
ich hatte das heute in deinem Blog schon entdeckt und wundere mich doch manchmal über die "Panikmache".
Natürlich es ist ein Problem, Sicherheitsleck wie auch immer, aber stutzig machen mich dann solche Sachen:

Im Blog steht:
Zur Schwachstelle gibt es die Erkenntnis, dass ab Windows 10 Version 1809 die Access Control Lists (ACLs) mit den Berechtigungen für die Hive-Dateien:

c:\Windows\System32\config\sam
c:\Windows\System32\config\system
c:\Windows\System32\config\security

in manchen Szenarien fehlerhaft gesetzt werden. Dann werden der Gruppe der Standardbenutzer Leserechte auf diese Dateien gewährt.

Mich würden jetzt diese Szenarien interessieren, denn weder in meinen System (Privatumgebung mit Domainanbindung), noch auf Systemen ohne Domain, noch auf den Firmensystemen habe ich Leserecht der Gruppe Standardbenutzer entdecken können.

Demnach bin ich nirgends davon betroffen und da stellt sich natürlich die Frage was bedeutet "in machen Szenarien" und wie dramatisch ist es überhaupt...

P.S.: Hinzu kommt, dass mein System auch beim Zugriff auf den config-Ordner Adminberechtigungen haben will.
Demnach müsste doch eine Schadsoftware die darauf abzielt auch als Admin ausgeführt werden, oder irre ich da?
Mitglied: emeriks
emeriks 22.07.2021 um 00:08:05 Uhr
Goto Top
Zitat von @DerWoWusste:
@emeriks
Und nun sag mir, was hat die Gruppe "Alle Anwendungspakete" für eine Relevanz hier? Muss sie drauf sein (hier ist sie es nicht)?
Stellt sie ein Risiko dar, spricht, könnte ein Nichtadmin dieses Konto impersonaten?
Diese ist im Original in der ACL des Ordners C:\Windows\System32\Config. Diese habe ich 1:1 in die GPO übernommen.
Das Problem ist ja auch nicht die ACL des Ordners sondern der Dateien darin. "Alle Anwendungspakete" wird nicht an die Dateien vererbt.
Mitglied: emeriks
emeriks 22.07.2021 um 00:10:49 Uhr
Goto Top
@dertowa:
Bei uns war es so gewesen, dass die BuiltIn-Gruppe "Benutzer" für die Dateien im Ordner "Config" Lese-Rechte hatte.

Es schadet nichts, das per GPO umzusetzen. Es beugt aber vor, falls Du dann morgen von diesem Szenario betroffen sein solltest.
Mitglied: DerWoWusste
DerWoWusste 22.07.2021 um 09:33:35 Uhr
Goto Top
Diese ist im Original in der ACL des Ordners C:\Windows\System32\Config.
Wie gesagt: bei mir nicht.
Mitglied: C.R.S.
C.R.S. 22.07.2021 um 16:46:27 Uhr
Goto Top
Das Problem kann ich sowohl auf einem einzelnen 1909 Professional, zu dem ich kein Installationsmedium habe, als auch auf neu installierten 21H1 Enterprise feststellen.
Bei den 21H1 Enterprise sind nur die als solche installierten Versionen betroffen; ebenfalls vorhandene 21H1, die von 20H2 aktualisiert worden waren, sind nicht betroffen.

Ein Blick ins Image bestätigt dies, oben 21H1 und unten 20H2:
unbenannt

Es handelt sich jeweils um ESD-Images des Media Creation Tools aus Dezember 2020 bzw. Juni 2021. Die Enterprise-Wim wurde zu Diagnosezwecken extrahiert.

Grüße
Richard
Mitglied: kgborn
kgborn 24.07.2021 aktualisiert um 02:36:40 Uhr
Goto Top
@dertowa: Wundern darfst Du dich gerne - ob es Panikmache ist, mag jeder selbst entscheiden. Der Umstand, dass Du nicht betroffen bist (warum auch immer, die Szenarien sind prinzipiell im Blog beschrieben, warum es bei einigen Domain-Membern nicht der Fall ist, wenn die 20H2 mal außen vor ist, weiß ich nicht), ändert nicht daran, dass der Fehler auftritt, von Microsoft bestätigt und in der Einschätzung bzw. in den Workarounds vom 20. bis 23. Juli 2021 inzwischen mehrfach revidiert wurde.

Ich stelle die Informationen im Blog ein, handeln muss jeder selbst - ist nicht mein Job, eure Arbeit zu machen. Der Bug, zusammen mit Mimikatz und Pass-the-Hash ist ein wunderbares Einfallstor, um seine Malware unter Standardkonten eine Rechteausweitung zu gewähren. Was Du dann in deinem Umfeld draus machst, ist deine Sache. Wenn Du nicht betroffen bist, fein. Inzwischen haben sich ja einige Leute gemeldet, die betroffen sind ;-) face-wink.

Wo ich dir Recht gebe: Bisher ist kein Fall bekannt, wo das ausgenutzt wird. Falls das Kind aber irgendwann in den Brunnen gefallen ist, schauen die Betroffenen betröppelt aus der Wäsche.
Mitglied: DerWoWusste
DerWoWusste 24.07.2021 aktualisiert um 11:54:53 Uhr
Goto Top
Hinzu kommt, dass mein System auch beim Zugriff auf den config-Ordner Adminberechtigungen haben will.
Demnach müsste doch eine Schadsoftware die darauf abzielt auch als Admin ausgeführt werden, oder irre ich da?
Ja, da irrst du. Da die Datei SAM unterhalb von config ja stets geöffnet und somit eh gesperrt ist, erfolgt der Angriff gegen die Schattenkopie der Datei, falls es diese gibt. Und dazu sind, wenn man denn betroffen ist, keine Adminrechte erforderlich. Du kannst die SAM somit kopieren und/oder Hashes sofort verwerten, um Identitäten anzunehmen oder auch das Kennwort des lokalen Admins zu ändern. Wenn du dabei Methoden verwendest, die der Virenscanner nicht kennt, hast du gewonnen.
Mitglied: Drohnald
Drohnald 25.07.2021 aktualisiert um 19:56:26 Uhr
Goto Top
Nachdem man sowieso noch die VSS Kopien löschen muss, reicht das Setzen der Berechtigungen nicht aus, die alten VSS müssen auch gelöscht werden.
Hier ein kurzes (hingepfuschtes) Powershell-Skript was aber klappt. Einfach als GPO bei startup raushaun und wenn die Clients regelmäßig neu starten sollte das passen:

Heiß diskutierte Beiträge
general
Einprügeln auf Fax als AblenkungsmanöveritebobVor 22 StundenAllgemeinOff Topic16 Kommentare

Moin, Im Interview mit dem Unionsfraktionschef Ralph Brinkhaus im Deutschlandfunk heute 07:15 hat der Journalist nebenbei erwähnt, dass über die Hochwasserkatastrophe per Fax gewarnt wurde. ...

general
2D DXF DWG Viewer für Verkauf?dertowaVor 1 TagAllgemeinOff Topic6 Kommentare

Guten Morgen allerseits, wir missbrauchen bei uns bislang das CAM Programm im Verkauf als DXF/DWG Viewer. Die Kollegen haben sich über Jahrzehnte daran gewöhnt, allerdings ...

question
Server 2019 std. auf deutsch umstellenBender999Vor 1 TagFrageWindows Server28 Kommentare

Hallo, kann mir einer erklären wie um alles in der Welt ich meinen Server 2019 std. auf deutsch umstellen kann? ...

question
Angebot annehmen? Gehalt OK?xsheynVor 19 StundenFrageOff Topic10 Kommentare

Hallo zusammen, ich bin nun seit knapp einem Jahr im Bewerbungsprozess und versuche in die "richtige" IT zu kommen. Momentan bin ich nur Knöpfchendrücker, also ...

question
Fehler beim Kopieren von einer CDHeinHeiopeiVor 1 TagFragePeripheriegeräte6 Kommentare

Moin, moin, ich habe dieser Tage versucht eine alte Datenbank, die ich im Jahre 2012 für einen Kunden entwickelt hatte, für eigene Zwecke zu adaptieren. ...

question
Ecosia Suchmaschine die Bäume pflanzt (80 Prozent fürnachgefragtVor 1 TagFrageWebbrowser5 Kommentare

Mahlzeit. Wir wurden darauf angesprochen, ob wir Ecosia bei div. Arbeitsplätzen als Suchmaschine anstatt Google implementieren könnten, quasi die Startseite der Browser, als Add In, ...

question
Subnetting FrageAuDavidVor 14 StundenFrageNetzwerke21 Kommentare

Hallo, ich hätte mal eine Frage zu dem Subnetting, ich sitze schon länger an dieser Aufgabe und bin mir mit der Lösung sehr unsicher. Ich ...

question
Dynamisch MAC-Adresse je nach WiFi-Netzwerk. Wie ist das möglich? gelöst Oliver16Vor 1 TagFrageLAN, WAN, Wireless7 Kommentare

Mir ist heute etwas aufgefallen, von dem mir nicht bekannt war, dass es möglich ist. Ein Notebook (Lenovo) von mir verändert die MAC-Adresse des WiFi-Adapters ...