Détecter les tentatives d’exploitation de HiveNightmare (CVE-2021-36934)
Table des matières :
Juillet 2021 s’annonce comme un mois vraiment chaud et difficile en termes d’événements bruyants de cybersécurité. Tandis que le monde du cyber se remet encore de la vulnérabilité PrintNightmare (CVE-2021-1675), l’attaque par chaîne d’approvisionnement Kaseya, et le zero-day SolarWinds Serv-U (CVE-2021-35211), Windows a officiellement annoncé une nouvelle faille notoire dans ses produits. Un bogue récemment divulgué, HiveNightmare (alias SeriousSAM), affecte toutes les versions de Windows 10 publiées au cours des deux dernières années et permet à tout utilisateur Windows 10 non privilégié d’obtenir des identifiants administrateurs.
HiveNightmare (CVE-2021-36934) Description
HiveNightmare, ou Serious SAM, est un problème d’élévation de privilège qui se produit en raison de défaillances des permissions au sein des listes de contrôle d’accès (ACL) sur plusieurs fichiers système dans la base de données Security Account Manager (SAM). La mauvaise configuration permet aux utilisateurs faiblement privilégiés de lire les fichiers de la ruche du Registre Windows de l’hôte SAM, système et sécurité. Ces fichiers critiques intègrent des détails hautement sensibles, y compris les hachages de mots de passe des comptes, le mot de passe d’installation original de Windows, les clés informatiques DPAPI applicables pour déchiffrer toutes les clés privées d’un ordinateur, et plus encore.
Exploiter avec succès la faille HiveNightmare permet à un adversaire local d’exécuter du code arbitraire avec des droits SYSTEM. En conséquence, le pirate peut lancer des logiciels malveillants sur l’instance ciblée, accéder et manipuler des données sensibles, ou même créer de nouveaux comptes administrateurs. Cependant, il y a une limitation pour exploiter CVE-2021-36934. Un pirate doit obtenir la capacité d’exécuter du code sur le dispositif ciblé pour poursuivre l’attaque.
La faille a été identifiée par le chercheur en cybersécurité Jonas Lykkegaard et signalée au fournisseur. Selon Microsoft, une erreur de configuration est présente dans ses produits depuis des années, affectant toutes les versions de Windows 10 à partir de la build 1809 et ultérieures. Heureusement, aucune preuve de concept (PoC) d’exploit public n’est disponible sur le web à ce jour.
Détection et Atténuation de HiveNightmare
Microsoft a confirmé la vulnérabilité HiveNightmare (CVE-2021-36934) le 20 juillet 2021, et le fournisseur recherche actuellement ce problème pour publier un correctif dédié. Pour l’instant, aucun correctif officiel n’a été déployé. Cependant, Microsoft a publié une solution de contournement qui nécessite de restreindre l’accès avec l’invite de commandes ou PowerShell et de supprimer les copies de l’ombre du service de copie de volume (VSS).
Pour aider la communauté de la cybersécurité à repérer et atténuer les attaques possibles exploitant la faille SeriousSAM, SOC Prime a publié des règles de détection pour identifier les postes de travail contenant des copies de l’ombre et révéler des opérations suspectes précédant l’exploitation de CVE-2021-36934.
Identifiez les postes de travail qui contiennent des copies de l’ombre [lié à l’exploitation de l’attaque HiveNightmare/SeriousSAM/CVE-2021-36934] (via audit)
Cette règle de détection par SOC Prime peut être utilisée pour identifier les postes de travail qui contiennent de vieux instantanés de copies de l’ombre comportant de mauvaises permissions sur les fichiers SAM/Système.
SIEM & ANALYTIQUE DE SÉCURITÉ : Azure Sentinel, ELK Stack, Chronicle Security, Splunk, Sumo Logic, ArcSight, QRadar, Humio, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Apache Kafka ksqlDB, Qualys, Securonix
Opérations suspectes sur SAM/SECURITY avant exploitation de l’attaque HiveNightmare/SeriousSAM/CVE-2021-36934 (via cmdline)
Cette règle de détection identifie les opérations suspectes par des adversaires liées à une possible exploitation de l’attaque CVE-2021-36934, par exemple, icacls pour vérifier les permissions des fichiers SAM/SYSTEM.
SIEM & ANALYTIQUE DE SÉCURITÉ : Azure Sentinel, ELK Stack, Chronicle Security, Splunk, Sumo Logic, ArcSight, QRadar, Humio, SentinelOne, Microsoft Defender ATP, CrowdStrike, FireEye, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Qualys, Securonix
Les règles sont mappées à la méthodologie MITRE ATT&CK abordant les tactiques d’escalade de privilèges et la sous-technique des comptes locaux (t1078.003) de la technique des comptes valides (t1078). Un contenu de détection est disponible dans le Threat Detection Marketplace après inscription.
Explorez le Threat Detection Marketplace pour accéder à plus de 100K règles de détection qualifiées, inter-fournisseurs et inter-outils adaptées à plus de 20 technologies SIEM, EDR, NTDR et XDR leader sur le marché. Envie de contribuer à la cybercommunauté mondiale en enrichissant la plateforme Detection as Code avec votre propre contenu de détection? Rejoignez notre Programme Threat Bounty pour un avenir plus sûr!
