Jump to content

HiveNightmare - Sicherheitslücke bzgl. Windows 10 Passwort Datenbank


Recommended Posts

Wie es aussieht sind Server nicht betroffen, insofern sie keine Implacement-Upgrades durchlaufen haben. Ich konnte das Problem schon am eigenen Gerät nachstellen.

Wenn ich mich recht entsinne, dann werden Computer-Anmeldeskripte mit SYSTEM-Berechtigung ausgeführt. Das wäre z.B. eine Möglichkeit den Geräten vor Ort asap. Herr zu werden.

 

CERT Coordination Center

https://www.kb.cert.org/vuls/id/506989

 

 

Impakt

Zitat
  • Extract and leverage account password hashes.
  • Discover the original Windows installation password.
  • Obtain DPAPI computer keys, which can be used to decrypt all computer private keys.
  • Obtain a computer machine account, which can be used in a silver ticket attack.

 

Workaround

icacls %windir%\system32\config\*.* /inheritance:e

oder 

icacls %windir%\system32\config\sam /remove "Benutzer"
icacls %windir%\system32\config\security /remove "Benutzer"
icacls %windir%\system32\config\system /remove "Benutzer"

und

vssadmin delete shadows /for=c: /Quiet

 

Edited by MurdocX
Link to post

Ich habe folgenden Powershell Befehl mal versucht (wurde in diesem Tweet beschrieben):

[System.IO.File]::Copy("c:\windows\system32\config\security", "c:\users\test\Documents\security.copy")

Hierbei bekomme ich die Fehlermeldung:

Ausnahme beim Aufrufen von "Copy" mit 2 Argument(en):  "Der Prozess kann nicht auf die Datei "c:\windows\system32\config\sam" zugreifen, da sie von einem anderen Prozess verwendet wird."

Kann dies jemand nachvollziehen? Auf dem System war der beschriebene Lesezugriff für einen normalen Nutzer möglich.

Ein Video zur Ausnutzung der Lücke mit mimikatz.

 

Nachtrag: Habe für den Powershell-Befehl den falschen Pfad verwendet, laut Tweet muss [VSS-Path-to-SAM/SYSTEM/SECURITY] verwendet werden.

Edited by winmadness
Fehler berichtigt
Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...