image

Windows Server ook kwetsbaar voor lek dat aanvaller SYSTEM-rechten geeft

donderdag 22 juli 2021, 11:27 door Redactie, 6 reacties

Een kwetsbaarheid in Windows 10 waardoor een lokale aanvaller SYSTEM-rechten kan krijgen is ook aanwezig in Windows Server. Dat meldt Microsoft in een nieuwe versie van het betreffende beveiligingsbulletin. De kwetsbaarheid wordt aangeduid als CVE-2021-36934, maar staat ook bekend als HiveNightmare en SeriousSAM. Via het beveiligingslek kan een aanvaller die al toegang tot een computer heeft SYSTEM-rechten kan krijgen en zo het systeem volledig overnemen.

Het probleem wordt veroorzaakt doordat standaardgebruikers toegang tot SAM, SYSTEM en SECURITY bestanden hebben. Hierdoor is "local privilege escalation" (LPE) mogelijk en kan een aanvaller zijn rechten verhogen. Normaliter zijn deze bestanden niet toegankelijk. Via Volume Shadow Copy (VSS) blijkt dit echter toch mogelijk te zijn. VSS is een feature waarmee Windows het mogelijk maakt om vorige versies van bestanden te herstellen.

Via VSS zijn ook de SAM, SYSTEM en SECURITY bestanden voor een standaardgebruiker toegankelijk. Zo is het mogelijk om wachtwoordhashes van accounts te achterhalen, het Windows-installatiewachtwoord te vinden en DPAPI-keys te bemachtigen waarmee alle op de computer gebruikte private keys zijn te ontsleutelen. Verder kan er controle over een machine-account worden gekregen dat voor een zogeheten "silver ticket" aanval is te gebruiken.

In eerste instantie werd gemeld dat de kwetsbaarheid aanwezig is in alle Windows 10-versies sinds versie 1809. Microsoft heeft nu een overzicht van alle kwetsbare Windowsversies gepubliceerd. Daaruit blijkt dat ook Windows Server 2019, Windows Server versie 2004 en Windows Server versie 20H2 kwetsbaar zijn.

Microsoft werkt aan een beveiligingsupdate voor het probleem. In de tussentijd kunnen gebruikers maatregelen nemen. Als tijdelijke workaround is het mogelijk om de toegang tot de system32-map te beperken en VSS-kopieën te verwijderen. Microsoft waarschuwt dat het verwijderen van de VSS-kopieën wel gevolgen kan hebben voor het herstellen van data. Daarnaast moet zowel de toegang tot de system32-map worden beperkt als de VSS-kopieën worden verwijderd om misbruik van de kwetsbaarheid te voorkomen.

Reacties (6)
22-07-2021, 11:52 door Anoniem
Jes,, nu dit weer. Het houdt maar niet op. VSS-kopieën verwijderen is toch geen optie. VSS uitzetten betekent ook bepaalde bestanden niet kunnen backuppen.
22-07-2021, 12:24 door Anoniem
Met zulke grote gaten heb je geen hack van de NSO Group meer nodig om bij Microsoft binnen te komen...
22-07-2021, 12:54 door [Account Verwijderd]
Door Anoniem: Jes,, nu dit weer. Het houdt maar niet op. VSS-kopieën verwijderen is toch geen optie. VSS uitzetten betekent ook bepaalde bestanden niet kunnen backuppen.

Het CERT van Carnegie Mellon University heeft een oplossing: Pas de rechten aan met icacls op de bewuste SAM.

Bron: https://kb.cert.org/vuls/id/506989
22-07-2021, 15:10 door [Account Verwijderd]
Door Wrebra: Het CERT van Carnegie Mellon University heeft een oplossing: Pas de rechten aan met icacls op de bewuste SAM.

Bron: https://kb.cert.org/vuls/id/506989

Kijk, dat is nou een zinvolle bijdrage! Thanks.
22-07-2021, 18:25 door karma4
Rechten aanpassen, prima. Te vaak wordt van alles opgestart onder system dan wel root.
De privilege escalation naar een privileged account met gelimiteerde rechten is veel beter.

Met een ondoordachte snelle aanpassing maak je snel meer kapot en veroorzaak je meer problemen dan er opgelost worden.
Het enige veilige systeem is er een die gewoon niet gwbruikt wordt. Helaas om die reden nutteloos.
22-07-2021, 19:34 door Anoniem
Door karma4: Rechten aanpassen, prima. Te vaak wordt van alles opgestart onder system dan wel root.
De privilege escalation naar een privileged account met gelimiteerde rechten is veel beter.

Met een ondoordachte snelle aanpassing maak je snel meer kapot en veroorzaak je meer problemen dan er opgelost worden.
Het enige veilige systeem is er een die gewoon niet gwbruikt wordt. Helaas om die reden nutteloos.
Onzin. De wereld is niet zwartwit. Kwaliteit bestaat.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.