Beschreibung:
Die Windows HiveNightmare Schwachstelle betrifft alle Windows 10 Versionen ab 1809. Dabei handelt es sich um eine fehlerhafte Berechtigungsstruktur auf den Windows Hive Dateien. Sind auf dem System Volumen-Schattenkopien (VSS Shadowcopies) vorhanden, so können nicht privilegierte Benutzer die folgenden Hive Dateien auslesen und dadurch beliebigen Code mit System-Rechten ausführen: C:\Windows\System32\config\sam C:\Windows\System32\config\system C:\Windows\System32\config\security Weiters ist es möglich Passwort-Hashes von Benutzern zu extrahieren und diese für Pass-the-Hash Angriffe zu verwenden, das ursprüngliche Windows Installationspasswort herauszufinden und den Computer Passworthash für Silver-Ticket Angriffe zu verwenden.
Betroffene Systeme:
Microsoft Windows 10 ab Version 1809
Behobene Versionen:
derzeit noch kein Update, jedoch Workarounds verfügbar
Empfohlene Maßnahmen:
Da es derzeit noch kein Update gibt, stehen diese beiden Workarounds zur Verfügung: Löschen der Volumen-Schattenkopien auf dem System oder entziehen der Zugriffsberechtigungen für die Gruppe der Standardbenutzer auf die jeweiligen Hives. Befehl zum Löschen der Volumen-Schattenkopien: vssadmin delete shadows /for=c: /Quiet Befehl zum Entfernen der Standardbenutzer: icacls %windir%\system32\config\sam /remove „Users“ icacls %windir%\system32\config\security /remove „Users“ icacls %windir%\system32\config\system /remove „Users“
Einschätzung der Bedrohung:
Derzeit gibt es keine Anzeichen dafür, dass die Schwachstelle aktiv ausgenutzt wird, jedoch sollte der Workaround angewandt werden.
Weiterführende Links:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36934 https://kb.cert.org/vuls/id/506989 https://www.borncity.com/blog/2021/07/21/hivenightmare-neue-details-zur-windows-schwachstelle-cve-2021-36934/