Windows Server ook kwetsbaar voor lek dat aanvaller SYSTEM-rechten geeft
Een kwetsbaarheid in Windows 10 waardoor een lokale aanvaller SYSTEM-rechten kan krijgen is ook aanwezig in Windows Server. Dat meldt Microsoft in een nieuwe versie van het betreffende beveiligingsbulletin. De kwetsbaarheid wordt aangeduid als CVE-2021-36934, maar staat ook bekend als HiveNightmare en SeriousSAM. Via het beveiligingslek kan een aanvaller die al toegang tot een computer heeft SYSTEM-rechten kan krijgen en zo het systeem volledig overnemen.
Het probleem wordt veroorzaakt doordat standaardgebruikers toegang tot SAM, SYSTEM en SECURITY bestanden hebben. Hierdoor is "local privilege escalation" (LPE) mogelijk en kan een aanvaller zijn rechten verhogen. Normaliter zijn deze bestanden niet toegankelijk. Via Volume Shadow Copy (VSS) blijkt dit echter toch mogelijk te zijn. VSS is een feature waarmee Windows het mogelijk maakt om vorige versies van bestanden te herstellen.
Via VSS zijn ook de SAM, SYSTEM en SECURITY bestanden voor een standaardgebruiker toegankelijk. Zo is het mogelijk om wachtwoordhashes van accounts te achterhalen, het Windows-installatiewachtwoord te vinden en DPAPI-keys te bemachtigen waarmee alle op de computer gebruikte private keys zijn te ontsleutelen. Verder kan er controle over een machine-account worden gekregen dat voor een zogeheten "silver ticket" aanval is te gebruiken.
In eerste instantie werd gemeld dat de kwetsbaarheid aanwezig is in alle Windows 10-versies sinds versie 1809. Microsoft heeft nu een overzicht van alle kwetsbare Windowsversies gepubliceerd. Daaruit blijkt dat ook Windows Server 2019, Windows Server versie 2004 en Windows Server versie 20H2 kwetsbaar zijn.
Microsoft werkt aan een beveiligingsupdate voor het probleem. In de tussentijd kunnen gebruikers maatregelen nemen. Als tijdelijke workaround is het mogelijk om de toegang tot de system32-map te beperken en VSS-kopieën te verwijderen. Microsoft waarschuwt dat het verwijderen van de VSS-kopieën wel gevolgen kan hebben voor het herstellen van data. Daarnaast moet zowel de toegang tot de system32-map worden beperkt als de VSS-kopieën worden verwijderd om misbruik van de kwetsbaarheid te voorkomen.
Het CERT van Carnegie Mellon University heeft een oplossing: Pas de rechten aan met icacls op de bewuste SAM.
Bron: https://kb.cert.org/vuls/id/506989
Bron: https://kb.cert.org/vuls/id/506989
Kijk, dat is nou een zinvolle bijdrage! Thanks.
De privilege escalation naar een privileged account met gelimiteerde rechten is veel beter.
Met een ondoordachte snelle aanpassing maak je snel meer kapot en veroorzaak je meer problemen dan er opgelost worden.
Het enige veilige systeem is er een die gewoon niet gwbruikt wordt. Helaas om die reden nutteloos.
De privilege escalation naar een privileged account met gelimiteerde rechten is veel beter.
Met een ondoordachte snelle aanpassing maak je snel meer kapot en veroorzaak je meer problemen dan er opgelost worden.
Het enige veilige systeem is er een die gewoon niet gwbruikt wordt. Helaas om die reden nutteloos.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
