HiveNightmare/SeriousSAM: der nächste Angriff auf Ihre Passwörter?

Seit dem 20. Juli 2021 ist eine neuartige Schwachstelle Namens HiveNightmare bekannt geworden. Die Schwachstelle wird unter anderem auch SeriousSAM genannt und ermöglicht es, einem Angreifer gehashte Passwörter von Nutzern auszulesen und zur eigenen Rechteerweiterung zu nutzen.

Dies ist möglich, da die Zugriffsrechte auf %windir%\System32\config auch den Zugriff von Nicht-Administratoren gestatten. Unter diesem Verzeichnis befindet sich unteranderen die Windows Registry, die den Security Account Manager (SAM) beinhaltet. Im SAM sind alle Nutzerpasswörter als Hash hinterlegt und können durch die Leserechte vom Angreifer einfach ausgelesen werden. Durch die Möglichkeit, die eigenen Rechte über SAM und die Lücke zu verändern, kann sich ein Angreifer Systemrechte zuweisen.

Betroffen sind alle Windows 10 Versionen ab 1809 sowie Windows Server 2019 [1]. Microsoft untersucht die Lücke derzeit noch und wird ein Update für die betroffenen Systeme bereitstellen. Bis zu diesem Zeitpunkt wird empfohlen, den Zugriff auf das Verzeichnis %windir%\System32\config auf Administratoren zu beschränken [1]. Um die Berechtigungen zu ändern, reicht es, den folgenden Befehl in einer administrativen Eingabeaufforderung auszuführen:

icacls %windir%\system32\config\*.* /inheritance:e

Da die problematischen Rechte auch in Sicherheitskopien und Systemwiederherstellungspunkten zu finden sind, wird noch empfohlen, alle alten Wiederherstellungspunkte und falls vorhanden Schattenkopien zu löschen und neue zu erstellen.

Um einen neuen Wiederherstellungspunkt zu erstellen und alle alten zu löschen, gehen Sie wie folgt vor:

  1. Erstellen Sie einen neuen Wiederherstellungspunkt, in dem Sie die Windows-Taste und S-Taste gleichzeitig betätigen und in der Suchleiste nach „Wiederherstellung“ suchen.

  2. In der Liste wählen Sie einen Wiederherstellungspunkt erstellen aus. Klicken Sie im geöffneten Fenster auf Erstellen und Benennen Sie den Wiederherstellungspunkt wie gewünscht.

  3. Öffnen Sie nun den Windows Explorer und navigieren Sie in der linken Leiste zu „Dieser Computer“.

  4. Wählen Sie Eigenschaften im Rechtsklick-Menü der Windows-Partition (meist C:)

  5. Öffnen Sie das Festplattenbereinigungs-Tool durch ein Mausklick auf Bereinigen

  6. Wählen Sie im geöffneten Fenster System-Dateien bereinigen aus

  7. Das gleiche Fenster sollte sich nun erneut öffnen

  8. Wechseln Sie zu Weiter Optionen und löschen Sie alle alten Wiederherstellungspunkte durch Betätigen des „Bereinigen“ Knopfs unter Systemwiederherstellung und Schatten Kopien

HiveNightmare-1.png

Durch diesen Workaround können die Hashes der Passwörter nur noch von Administratoren ausgelesen werden, sodass die Sicherheitslücke bis zu einem offiziellen Patch von Microsoft geschlossen ist.

Sollten Sie weitere Fragen haben, können Sie uns unter support@ESCde.net oder https://www.escde.net/kontakt kontaktieren.

[1] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36934

Windows ServerPol CoenenWindows Server, Gruppenrichtlinie, Sicherheitslücke, HiveNightmare