Jump to content

HiveNightmare - Sicherheitslücke bzgl. Windows 10 Passwort Datenbank

winmadness

Von winmadness
in Windows Forum — Security

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

winmadness Experienced

winmadness   79

Geschrieben
Geschrieben

Eine weitere Sicherheitslücke in Windows 10 / 11 wurde entdeckt - Infos und Workaround unter CVE und Heise.

 

Zitat

HiveNightmare: Nutzer können die Windows-Passwort-Datenbank auslesen
Fehlerhafte Zugriffsrechte verursachen eine Sicherheitslücke in Windows 10 und 11. Einen Patch gibt es noch nicht – wir zeigen aber erste Workarounds.

 

  • Danke 2
MurdocX Veteran

MurdocX   1.004

Geschrieben
Geschrieben (bearbeitet)

Wie es aussieht sind Server nicht betroffen, insofern sie keine Implacement-Upgrades durchlaufen haben. Ich konnte das Problem schon am eigenen Gerät nachstellen.

Wenn ich mich recht entsinne, dann werden Computer-Anmeldeskripte mit SYSTEM-Berechtigung ausgeführt. Das wäre z.B. eine Möglichkeit den Geräten vor Ort asap. Herr zu werden.

 

CERT Coordination Center

https://www.kb.cert.org/vuls/id/506989

 

 

Impakt

Zitat
  • Extract and leverage account password hashes.
  • Discover the original Windows installation password.
  • Obtain DPAPI computer keys, which can be used to decrypt all computer private keys.
  • Obtain a computer machine account, which can be used in a silver ticket attack.

 

Workaround 

icacls %windir%\system32\config\*.* /inheritance:e

oder 

icacls %windir%\system32\config\sam /remove "Benutzer"
icacls %windir%\system32\config\security /remove "Benutzer"
icacls %windir%\system32\config\system /remove "Benutzer"

und

vssadmin delete shadows /for=c: /Quiet

 

bearbeitet von MurdocX
winmadness Experienced

winmadness   79

Geschrieben
  • Autor
Geschrieben (bearbeitet)

Ich habe folgenden Powershell Befehl mal versucht (wurde in diesem Tweet beschrieben): 

[System.IO.File]::Copy("c:\windows\system32\config\security", "c:\users\test\Documents\security.copy")

Hierbei bekomme ich die Fehlermeldung: 

Ausnahme beim Aufrufen von "Copy" mit 2 Argument(en):  "Der Prozess kann nicht auf die Datei "c:\windows\system32\config\sam" zugreifen, da sie von einem anderen Prozess verwendet wird."

Kann dies jemand nachvollziehen? Auf dem System war der beschriebene Lesezugriff für einen normalen Nutzer möglich.

Ein Video zur Ausnutzung der Lücke mit mimikatz.

 

Nachtrag: Habe für den Powershell-Befehl den falschen Pfad verwendet, laut Tweet muss [VSS-Path-to-SAM/SYSTEM/SECURITY] verwendet werden.

bearbeitet von winmadness
Fehler berichtigt
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde dich hier an.

Jetzt anmelden
Zurück zur Übersicht


×
×
  • Neu erstellen...