CVE-2021-36934 - Microsoft Windows HiveNightmare

Beschreibung:

Die Windows HiveNightmare Schwachstelle betrifft alle Windows 10 Versionen ab 1809. Dabei handelt es sich um eine fehlerhafte Berechtigungsstruktur auf den Windows Hive Dateien. Sind auf dem System Volumen-Schattenkopien (VSS Shadowcopies) vorhanden, so können nicht privilegierte Benutzer die folgenden Hive Dateien auslesen und dadurch beliebigen Code mit System-Rechten ausführen: C:\Windows\System32\config\sam C:\Windows\System32\config\system C:\Windows\System32\config\security Weiters ist es möglich Passwort-Hashes von Benutzern zu extrahieren und diese für Pass-the-Hash Angriffe zu verwenden, das ursprüngliche Windows Installationspasswort herauszufinden und den Computer Passworthash für Silver-Ticket Angriffe zu verwenden.

Betroffene Systeme:

Microsoft Windows 10 ab Version 1809

Behobene Versionen:

derzeit noch kein Update, jedoch Workarounds verfügbar

Empfohlene Maßnahmen:

Da es derzeit noch kein Update gibt, stehen diese beiden Workarounds zur Verfügung: Löschen der Volumen-Schattenkopien auf dem System oder entziehen der Zugriffsberechtigungen für die Gruppe der Standardbenutzer auf die jeweiligen Hives. Befehl zum Löschen der Volumen-Schattenkopien: vssadmin delete shadows /for=c: /Quiet Befehl zum Entfernen der Standardbenutzer: icacls %windir%\system32\config\sam /remove „Users“ icacls %windir%\system32\config\security /remove „Users“ icacls %windir%\system32\config\system /remove „Users“

Einschätzung der Bedrohung:

Derzeit gibt es keine Anzeichen dafür, dass die Schwachstelle aktiv ausgenutzt wird, jedoch sollte der Workaround angewandt werden.

Weiterführende Links:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36934  https://kb.cert.org/vuls/id/506989  https://www.borncity.com/blog/2021/07/21/hivenightmare-neue-details-zur-windows-schwachstelle-cve-2021-36934/