Erkennen von HiveNightmare (CVE-2021-36934) Ausnutzungsversuchen
Inhaltsverzeichnis:
Juli 2021 erweist sich als ein wirklich heißer und schwieriger Monat in Bezug auf die lauten Cybersecurity-Ereignisse. Während sich die Welt der Cybersecurity noch von PrintNightmare-Schwachstelle (CVE-2021-1675), Kaseya-Lieferketten-Angriff, und SolarWinds Serv-U Zero-Day (CVE-2021-35211) erholt, hat Windows offiziell eine neue berüchtigte Schwachstelle in seinen Produkten angekündigt. Ein kürzlich offengelegter HiveNightmare (alias SeriousSAM) Fehler betrifft alle Windows 10-Versionen, die in den letzten zwei Jahren veröffentlicht wurden, und ermöglicht jedem nicht privilegierten Windows 10-Benutzer, Administrator-Anmeldedaten zu sammeln.
HiveNightmare (CVE-2021-36934) Beschreibung
HiveNightmare, oder Serious SAM, ist ein Privilegieneskalationsproblem , das durch Berechtigungslücken innerhalb der Access Control Lists (ACLs) bei mehreren Systemdateien in der Security Account Manager (SAM) Datenbank auftritt. Die Fehlkonfiguration ermöglicht es Benutzern mit niedrigen Berechtigungen, die SAM-, System- und Sicherheits-Windows-Registry-Containerdateien des Hosts zu lesen. Diese kritischen Dateien enthalten hochsensible Details, darunter Konto-Passworthashes, das ursprüngliche Windows-Installationspasswort, DPAPI-Computerschlüssel, die auf die Entschlüsselung aller privaten Computerschlüssel anwendbar sind, und mehr.
Der erfolgreiche Angriff auf die HiveNightmare-Schwachstelle ermöglicht es einem lokalen Angreifer, beliebigen Code mit SYSTEM-Rechten auszuführen. Dadurch kann der Hacker bösartige Software auf der angegriffenen Instanz ausführen, auf sensible Daten zugreifen und diese manipulieren oder sogar neue Administrator-Konten erstellen. Es gibt jedoch eine Einschränkung bei der Ausnutzung von CVE-2021-36934. Ein Hacker sollte die Fähigkeit erhalten, Code auf einem angegriffenen Gerät auszuführen, um mit dem Angriff fortzufahren.
Die Schwachstelle wurde identifiziert von dem Cybersecurity-Forscher Jonas Lykkegaard und dem Anbieter gemeldet. Laut Microsoft ist die Fehlkonfiguration seit Jahren in seinen Produkten vorhanden und betrifft alle Windows 10-Versionen ab Build 1809 und später. Glücklicherweise sind derzeit keine öffentlichen Proof-of-Concept (PoC) Exploits im Web verfügbar.
HiveNightmare Erkennung und Minderung
Microsoft hat die HiveNightmare-Schwachstelle (CVE-2021-36934) am 20. Juli 2021 bestätigt und forscht derzeit an diesem Problem, um einen dedizierten Fix zu veröffentlichen. Aktuell wurden noch keine offiziellen Patches bereitgestellt. Doch Microsoft hat eine Umgehungslösung veröffentlicht, die den Zugriff mit der Eingabeaufforderung oder PowerShell einschränkt und Schattenkopien des Volume Shadow Copy Service (VSS) löscht. a workaround that requires restricting access with Command Prompt or PowerShell and deleting Volume Shadow Copy Service (VSS) shadow copies.
Um der Cybersecurity-Gemeinschaft zu helfen, mögliche Angriffe, die die SeriousSAM-Schwachstelle ausnutzen, zu erkennen und abzumildern, hat SOC Prime Erkennungsregeln veröffentlicht, um Arbeitsstationen zu identifizieren, die Schattenkopien enthalten, und verdächtige Operationen aufzudecken, die der Ausnutzung von CVE-2021-36934 vorausgehen.
Arbeitsstationen identifizieren, die Schattenkopien enthalten [bezogen auf HiveNightmare/SeriousSAM/CVE-2021-36934 Angriffsausnutzung] (via audit)
Diese Erkennungsregel von SOC Prime kann verwendet werden, um Arbeitsstationen zu identifizieren, die alte Schattenkopieschnappschüsse mit falschen Berechtigungen auf SAM/Systemdateien enthalten.
SIEM & SECURITY ANALYTICS: Azure Sentinel, ELK Stack, Chronicle Security, Splunk, Sumo Logic, ArcSight, QRadar, Humio, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Apache Kafka ksqlDB, Qualys, Securonix
Verdächtige Operationen auf SAM/SECURITY vor HiveNightmare/SeriousSAM/CVE-2021-36934 Angriffsausnutzung (via cmdline)
Diese Erkennungsregel identifiziert verdächtige Operationen durch Angreifer in Bezug auf mögliche CVE-2021-36934 Angriffsausnutzung, zum Beispiel icacls, um Berechtigungen zu SAM/SYSTEM-Dateien zu überprüfen.
SIEM & SECURITY ANALYTICS: Azure Sentinel, ELK Stack, Chronicle Security, Splunk, Sumo Logic, ArcSight, QRadar, Humio, SentinelOne, Microsoft Defender ATP, CrowdStrike, FireEye, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Qualys, Securonix
Die Regeln sind auf die MITRE ATT&CK Methodik abgebildet, die die Taktiken zur Privilegieneskalation und die Untertechnik Lokale Konten (t1078.003) der Technik Gültige Konten (t1078) adressiert. Erkennungsinhalte sind im Threat Detection Marketplace nach Registrierung verfügbar.
Erkunden Sie den Threat Detection Marketplace, um über 100K qualifizierte, anbieterübergreifende und werkzeugübergreifende Erkennungsregeln zu erreichen, die auf 20+ marktführende SIEM-, EDR-, NTDR- und XDR-Technologien zugeschnitten sind. Begeistert, zur globalen Cybercommunity beizutragen, indem Sie die Detection as Code-Plattform mit Ihren eigenen Erkennungsinhalten bereichern? Schließen Sie sich unserem Threat Bounty Program für eine sicherere Zukunft an!
