Detectar Intentos de Explotación de HiveNightmare (CVE-2021-36934)
Tabla de contenidos:
Julio de 2021 continúa siendo un mes realmente caluroso y difícil en términos de eventos ruidosos de ciberseguridad. Mientras el mundo del ciberespacio todavía se recupera de la vulnerabilidad PrintNighmare (CVE-2021-1675), el ataque a la cadena de suministro de Kaseya, y el zero-day de SolarWinds Serv-U (CVE-2021-35211), Windows ha anunciado oficialmente una nueva falla notoria en sus productos. Un error recientemente divulgado llamado HiveNightmare (también conocido como SeriousSAM) afecta a todas las versiones de Windows 10 publicadas en los últimos dos años y permite a cualquier usuario no privilegiado de Windows 10 obtener credenciales de administrador.
Descripción de HiveNightmare (CVE-2021-36934)
HiveNigtmare, o Serious SAM, es un problema de elevación de privilegios que ocurre debido a lapsos de permisos en las Listas de Control de Acceso (ACLs) en múltiples archivos del sistema dentro de la base de datos del Administrador de Cuentas de Seguridad (SAM). La mala configuración permite a usuarios con pocos privilegios leer los archivos del SAM, el sistema y el registro de seguridad de Windows del host. Estos archivos críticos incorporan detalles altamente sensibles, incluidos los hashes de las contraseñas de cuentas, la contraseña original de instalación de Windows, claves de computadora DPAPI aplicables para descifrar todas las claves privadas de computadora, y más.
La explotación exitosa de la falla HiveNightmare permite a un adversario local ejecutar código arbitrario con derechos de SISTEMA. Como resultado, el hacker puede lanzar software malicioso en la instancia objetivo, acceder y manipular datos sensibles, o incluso crear nuevas cuentas de administrador. Sin embargo, hay una limitación para aprovechar CVE-2021-36934. Un hacker debe obtener la capacidad de ejecutar código en un dispositivo objetivo para proceder con el ataque.
La falla ha sido identificada por el investigador de ciberseguridad Jonas Lykkegaard y reportada al proveedor. Según Microsoft, la mala configuración ha estado presente en sus productos durante años, afectando a todas las versiones de Windows 10 desde la build 1809 en adelante. Afortunadamente, no hay pruebas de concepto (PoC) públicas disponibles en la web hasta la fecha.
Detección y Mitigación de HiveNightmare
Microsoft confirmó la vulnerabilidad HiveNightmare (CVE-2021-36934) el 20 de julio de 2021, y el proveedor está investigando actualmente este problema para lanzar un parche dedicado. Por ahora, no se han publicado parches oficiales. Sin embargo, Microsoft ha publicado una solución temporal que requiere restringir el acceso con el Símbolo del sistema o PowerShell y eliminar las copias de sombra del Servicio de Copias de Sombra de Volumen (VSS).
Para ayudar a la comunidad de ciberseguridad a detectar y mitigar posibles ataques que aprovechen la falla SeriousSAM, SOC Prime lanzó reglas de detección para identificar estaciones de trabajo que contienen Copias de Sombra y revelar Operaciones Sospechosas que preceden a la explotación de CVE-2021-36934.
Identificar Estaciones de Trabajo que contengan Copias de Sombra [relacionado con la explotación del ataque HiveNightmare/SeriousSAM/CVE-2021-36934] (mediante auditoría)
Esta regla de detección de SOC Prime puede usarse para identificar estaciones de trabajo que contienen instantáneas de copias de sombra antiguas con permisos incorrectos en los archivos SAM/Sistema.
SIEM & ANALÍTICA DE SEGURIDAD: Azure Sentinel, ELK Stack, Chronicle Security, Splunk, Sumo Logic, ArcSight, QRadar, Humio, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Apache Kafka ksqlDB, Qualys, Securonix
Operaciones Sospechosas en SAM/SEGURIDAD Antes de la Explotación del Ataque HiveNightmare/SeriousSAM/CVE-2021-36934 (vía línea de comandos)
Esta regla de detección identifica operaciones sospechosas por parte de adversarios relacionadas con la posible explotación del ataque CVE-2021-36934, por ejemplo, icacls para verificar permisos en archivos SAM/SISTEMA.
SIEM & ANALÍTICA DE SEGURIDAD: Azure Sentinel, ELK Stack, Chronicle Security, Splunk, Sumo Logic, ArcSight, QRadar, Humio, SentinelOne, Microsoft Defender ATP, CrowdStrike, FireEye, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Qualys, Securonix
Las reglas están mapeadas a la metodología MITRE ATT&CK abordando las tácticas de Escalación de Privilegios y la sub-técnica de Cuentas Locales (t1078.003) de la técnica de Cuentas Válidas (t1078). El contenido de detección está disponible en el Mercado de Detección de Amenazas tras el registro.
Explore el Mercado de Detección de Amenazas para acceder a más de 100K reglas de detección calificadas, cruzadas por proveedores y herramientas, adaptadas a más de 20 tecnologías líderes de mercado en SIEM, EDR, NTDR y XDR. ¿Con entusiasmo por contribuir a la comunidad cibernética mundial enriqueciendo la plataforma de Detección como Código con su propio contenido de detección? ¡Únase a nuestro Programa de Recompensas por Amenazas para un futuro más seguro!
