Der Sicherheitsforscher Jonas Likkegaard hat eine Schwachstelle im Windows-Betriebssystem entdeckt, die es einem Low-Level-Benutzer ermöglicht, Administratorrechte auf einem lokalen Computer zu erlangen. Berichten zufolge betrifft das Problem Windows 10 und Windows 11.
Im Zuge der Recherche wurde festgestellt, dass ein Windows-Benutzer auch ohne Administratorrechte auf vertrauliche Dateien der Registry-Datenbank zugreifen kann, um die Privilegien im System selbstständig zu erhöhen. Die Windows-Registrierung fungiert als eine Art Konfigurations-Repository für das Betriebssystem und enthält gehashte Passwörter, Benutzereinstellungen, Konfigurationseinstellungen für Anwendungen, Entschlüsselungsschlüssel und vieles mehr.
Gleichzeitig werden die mit der Registrierung verbundenen Datenbankdateien im Ordner C:\Windows\system32\config gespeichert. Dies sind die SYSTEM-, SICHERHEITS-, SAM-, DEFAULT- und SOFTWARE-Dateien. Da diese Dateien vertrauliche Informationen über alle Gerätebenutzerkonten und Sicherheitstoken enthalten, die von Windows-Features verwendet werden, sollte normale Benutzer daran gehindert werden, sie anzuzeigen. Dies gilt insbesondere für die Datei Security Accounts Manager (SAM), da sie die gehashten Passwörter aller Benutzer des Systems speichert.
Durch Recherchen hat Lyckegaard herausgefunden, dass mit Windows 10 und Windows 11 SAM zusammenhängende Registrierungsdateien sowie andere Registrierungsdatenbanken für Benutzer des Geräts mit geringen Berechtigungen verfügbar sind. Dies bedeutet, dass ein Angreifer auch ohne Administratorrechte die gehashten NTLM-Passwörter für alle Konten auf dem Gerät extrahieren und bei Hash-Passing-Angriffen zur Erhöhung von Berechtigungen verwenden kann. Obwohl Dateien wie SAM immer vom System verwendet werden und ein Zugriffsversuch abgelehnt wird, erstellt das System versteckte Kopien davon, die der Angreifer bei dieser Art von Angriff verwendet.
Nach den vorliegenden Daten konnten Benutzer mit normalen Rechten erstmals in Windows 10 (1809) auf die zuvor genannten Dateien zugreifen. Microsoft hat das Problem bestätigt und die Schwachstelle wird unter der Kennung CVE-2021-36934 verfolgt. Die Entwickler schlugen auch eine temporäre Option vor, um die Zugriffseinstellungen zu ändern, um potenzielle Probleme im Zusammenhang mit dieser Schwachstelle zu vermeiden. „Wir untersuchen die Situation und werden gegebenenfalls entsprechende Maßnahmen zum Schutz der Kunden ergreifen“, kommentierte ein Microsoft-Sprecher die Angelegenheit.
2021-07-21 19:17:29
Autor: Vitalii Babkin