winmadness 79 Geschrieben 21. Juli 2021 Melden Teilen Geschrieben 21. Juli 2021 Eine weitere Sicherheitslücke in Windows 10 / 11 wurde entdeckt - Infos und Workaround unter CVE und Heise. Zitat HiveNightmare: Nutzer können die Windows-Passwort-Datenbank auslesen Fehlerhafte Zugriffsrechte verursachen eine Sicherheitslücke in Windows 10 und 11. Einen Patch gibt es noch nicht – wir zeigen aber erste Workarounds. 2 Zitieren Link zu diesem Kommentar
MurdocX 949 Geschrieben 21. Juli 2021 Melden Teilen Geschrieben 21. Juli 2021 (bearbeitet) Wie es aussieht sind Server nicht betroffen, insofern sie keine Implacement-Upgrades durchlaufen haben. Ich konnte das Problem schon am eigenen Gerät nachstellen. Wenn ich mich recht entsinne, dann werden Computer-Anmeldeskripte mit SYSTEM-Berechtigung ausgeführt. Das wäre z.B. eine Möglichkeit den Geräten vor Ort asap. Herr zu werden. CERT Coordination Center https://www.kb.cert.org/vuls/id/506989 Impakt Zitat Extract and leverage account password hashes. Discover the original Windows installation password. Obtain DPAPI computer keys, which can be used to decrypt all computer private keys. Obtain a computer machine account, which can be used in a silver ticket attack. Workaround icacls %windir%\system32\config\*.* /inheritance:e oder icacls %windir%\system32\config\sam /remove "Benutzer" icacls %windir%\system32\config\security /remove "Benutzer" icacls %windir%\system32\config\system /remove "Benutzer" und vssadmin delete shadows /for=c: /Quiet bearbeitet 21. Juli 2021 von MurdocX Zitieren Link zu diesem Kommentar
winmadness 79 Geschrieben 21. Juli 2021 Autor Melden Teilen Geschrieben 21. Juli 2021 (bearbeitet) Ich habe folgenden Powershell Befehl mal versucht (wurde in diesem Tweet beschrieben): [System.IO.File]::Copy("c:\windows\system32\config\security", "c:\users\test\Documents\security.copy") Hierbei bekomme ich die Fehlermeldung: Ausnahme beim Aufrufen von "Copy" mit 2 Argument(en): "Der Prozess kann nicht auf die Datei "c:\windows\system32\config\sam" zugreifen, da sie von einem anderen Prozess verwendet wird." Kann dies jemand nachvollziehen? Auf dem System war der beschriebene Lesezugriff für einen normalen Nutzer möglich. Ein Video zur Ausnutzung der Lücke mit mimikatz. Nachtrag: Habe für den Powershell-Befehl den falschen Pfad verwendet, laut Tweet muss [VSS-Path-to-SAM/SYSTEM/SECURITY] verwendet werden. bearbeitet 21. Juli 2021 von winmadness Fehler berichtigt Zitieren Link zu diesem Kommentar
cj_berlin 1.313 Geschrieben 21. Juli 2021 Melden Teilen Geschrieben 21. Juli 2021 Der Befehl im Tweet verweist aber auf eine Shadow Copy, nicht auf den aktiven Pfad??? 1 Zitieren Link zu diesem Kommentar
winmadness 79 Geschrieben 21. Juli 2021 Autor Melden Teilen Geschrieben 21. Juli 2021 vor 1 Minute schrieb cj_berlin: Der Befehl im Tweet verweist aber auf eine Shadow Copy, nicht auf den aktiven Pfad??? Danke, mein Fehler. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.