US-CERT und Microsoft warnen

US-CERT und Microsoft warnen

Das US-CERT hat inzwischen eine Sicherheitswarnung herausgegeben, die die Details zusammenfasst. Ab Windows 10 1809 wird der BUILTIN\Users-Gruppe demnach die Lese-Ausführungsberechtigung (RX) folgenden Dateien zugewiesen:

c:\Windows\System32\config\sam

c:\Windows\System32\config\system

c:\Windows\System32\config\security

Sind Volumen-Schattenkopien des Systemlaufwerks verfügbar, kann ein nicht privilegierter lokaler Benutzer den Zugriff auf diese Dateien beispielsweise für folgendes nutzen:

  • Extrahieren und Ausnutzen von Kontokennwort-Hashes mit Tools wie mimikatz für Pass-the-Hash-Angriffe
  • Das ursprüngliche Windows-Installationspasswort herausfinden
  • DPAPI-Computerschlüssel, die zur Entschlüsselung aller privaten Computerschlüssel verwendet werden können, erlangen
  • Ein Computerkonto eines lokalen Administrators für einen Silver-Ticket-Angriff übernehmen

Benjamin Deply demonstriert in einem Video aus diesem Tweet einige der sich abzeichnenden Möglichkeiten. Auf einigen Systemen fehlen zwar die benötigten VSS-Schattenkopien. Wird ein Systemlaufwerk größer als 128 GB für ein Windows-Upgrade verwendet, erstellt Windows automatisch eine VSS-Schattenkopie.

Der Befehl:

vssadmin list shadows

ausgeführt aus einer administrativen Eingabeaufforderung, zeigt diese Volumenschattenkopien an. Microsoft hat mittlerweile auch eine erste Beschreibung der Schwachstelle mit dem Bezeichner CVE-2021-36934 veröffentlicht. Diese bestätigt die fehlerhaften Zugriffsrechte in den Access Control Lists (ACLs) mehrerer Systemdateien, einschließlich der Security Accounts Manager Datenbank (SAM).

Workarounds für die Schwachstelle

Von Microsoft gibt es bisher keine Hinweise zur Beseitigung der Schwachstelle. Man könnte zwar die Schattenkopien löschen beziehungsweise abschalten, verliert dadurch aber die Möglichkeit, beschädigte Hives wiederherzustellen. Vom US-CERT gibt es in der entsprechenden Sicherheitswarnung den Vorschlag, die Zugriffsberechtigungen für die Gruppe Users durch die nachfolgenden Befehle, ausgeführt in einer administrativen Eingabeaufforderung, zu entziehen.

Bitte leiten Sie die Information an ihren IT Bereich weiter.