Upozornění na zranitelnost HiveNightmare

Upozorňujeme na zranitelnost CVE-2021-36934 v systémech Windows 10 verze 1809 a novější (včetně Windows 11 Preview). Zranitelnost spočívá v možnosti přistoupit k obsahu systémových registrů SAM, SYSTEM a SECURITY i s účtem běžného uživatele, pokud byly soubory zálohovány službou Volume Shadow Copy, která je v základním nastavení spuštěna. Jelikož soubory uchovávají uživatelská a systémová hesla a šifrovací klíče, lze tento přístup zneužít k eskalaci oprávnění.

Zranitelnost může představovat závažný problém zejména v případě, kdy je je počítač připojen v doméně a bylo na něj přístupováno účty serverových nebo doménových administrátorů, čímž mohou hashe jejich hesel zůstat v těchto souborech přístupné. Útočník zneužívající tuto zranitelnost poté může dané účty a následně doménu kompromitovat i bez předchozí eskalace oprávnění. Zranitelnost již byla řadou bezpečnostních výzkumníků otestována a bylo k ní veřejně publikováno několik nástrojů k vyčtení přihlašovacích údajů, včetně modulu do rozšířeného nástroje Mimikatz. Lze tedy očekávat, že v případě kompromitace zařízení na úrovní koncového uživatele bude na neošetřených systémech docházet k jejímu zneužití. Opravná aktualizace v současné době není k dispozici, její vydání se očekává v následujících dnech. Microsoft ke zranitelnost prozatím vydal pokyny k zabezpečení, ve kterých doporučuje: 

  • Explicitně omezit přístup k adresáři obsahující registry %windir%\system32\config
  • Smazat Shadow Copy vytvořené před provedením předchozího bodu

 Podrobnosti k instrukcím naleznete na https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36934

 Je také doporučeno monitorovat nestandartní akce uživatele vůči registrovým databázím nebo Shadow copy svazkům a dodržovat v organizaci princip nejnižšího nutné oprávnění při administraci koncových stanic.

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36934

https://windowsreport.com/hivenightmare-privilege-escalation-flaw-hits-windows-10-11/

https://www.blumira.com/sam-database-vulnerability/

https://doublepulsar.com/hivenightmare-aka-serioussam-anybody-can-read-the-registry-in-windows-10-7a871c465fa5