Rilevare i Tentativi di Sfruttamento di HiveNightmare (CVE-2021-36934)
Indice:
Luglio 2021 continua a essere un mese davvero caldo e difficile in termini di eventi rumorosi nel campo della cybersecurity. Mentre il mondo del cyber sta ancora recuperando dalla vulnerabilità PrintNightmare (CVE-2021-1675), attacco alla supply chain di Kaseya, e zero-day di SolarWinds Serv-U (CVE-2021-35211), Windows ha annunciato ufficialmente una nuova nota falla nei suoi prodotti. Un bug recentemente rivelato, HiveNightmare (aka SeriousSAM), colpisce tutte le versioni di Windows 10 rilasciate negli ultimi due anni e permette a qualsiasi utente non privilegiato di Windows 10 di ottenere credenziali di amministratore.
Descrizione HiveNightmare (CVE-2021-36934)
HiveNightmare, o Serious SAM, è un problema di elevazione dei privilegi che si verifica a causa di mancati permessi nelle Access Control Lists (ACL) su più file di sistema all’interno del database Security Account Manager (SAM). La configurazione errata consente agli utenti con pochi privilegi di leggere i file SAM, di sistema e di sicurezza del Registro di sistema di Windows dell’host. Questi file critici includono dettagli altamente sensibili, tra cui hash delle password degli account, la password originale dell’installazione di Windows, chiavi del computer DPAPI applicabili per decriptare tutte le chiavi private del computer e altro ancora.
Lo sfruttamento riuscito della falla di HiveNightmare consente a un avversario locale di eseguire codice arbitrario con diritti SYSTEM. Di conseguenza, l’hacker può lanciare software dannoso sull’istanza bersaglio, accedere e manipolare dati sensibili o persino creare nuovi account amministrativi. Tuttavia, c’è una limitazione per sfruttare CVE-2021-36934. Un hacker deve ottenere la capacità di eseguire codice su un dispositivo bersaglio per procedere con l’attacco.
La falla è stata identificata dal ricercatore di cybersecurity Jonas Lykkegaard e riportata al fornitore. Secondo Microsoft, la configurazione errata è presente nei suoi prodotti da anni colpendo tutte le versioni di Windows 10 a partire dalla build 1809 e versioni successive. Fortunatamente, nessun exploit di prova di concetto (PoC) pubblico è disponibile sul web fino ad oggi.
Rilevamento e Mitigazione di HiveNightmare
Microsoft ha confermato la vulnerabilità HiveNightmare (CVE-2021-36934) il 20 luglio 2021, e il fornitore sta attualmente studiando questo problema per rilasciare una correzione dedicata. Per ora, non sono state rilasciate patch ufficiali. Tuttavia, Microsoft ha pubblicato una soluzione alternativa che richiede di restringere l’accesso con il Prompt dei comandi o PowerShell e eliminare le copie ombra del Servizio Copia Shadow del Volume (VSS).
Per aiutare la comunità di cybersecurity a individuare e mitigare possibili attacchi che sfruttano la falla SeriousSAM, SOC Prime ha rilasciato regole di rilevamento per identificare le workstation che contengono copie ombra e rivelare Operazioni Sospette che precedono lo sfruttamento di CVE-2021-36934.
Identificare le Workstation che contengono Copie Ombra [relativo a sfruttamento di attacco HiveNightmare/SeriousSAM/CVE-2021-36934] (tramite audit)
Questa regola di rilevamento di SOC Prime può essere utilizzata per identificare le workstation che contengono vecchi snapshot di copie ombra con permessi errati su file SAM/Sistema.
SIEM & ANALITICA DI SICUREZZA: Azure Sentinel, ELK Stack, Chronicle Security, Splunk, Sumo Logic, ArcSight, QRadar, Humio, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Apache Kafka ksqlDB, Qualys, Securonix
Operazioni Sospette su SAM/SECURITY Prima del Sfruttamento di Attacco HiveNightmare/SeriousSAM/CVE-2021-36934 (tramite cmdline)
Questa regola di rilevamento identifica operazioni sospette da parte di avversari relative a un possibile sfruttamento di attacco CVE-2021-36934, ad esempio, icacls per controllare i permessi su file SAM/SISTEMA.
SIEM & ANALITICA DI SICUREZZA: Azure Sentinel, ELK Stack, Chronicle Security, Splunk, Sumo Logic, ArcSight, QRadar, Humio, SentinelOne, Microsoft Defender ATP, CrowdStrike, FireEye, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Qualys, Securonix
Le regole sono mappate alla metodologia MITRE ATT&CK indirizzando le tattiche di Escalation dei Privilegi e la sotto-tecnica degli Account Locali (t1078.003) della tecnica Account Validi (t1078). Il contenuto di rilevamento è disponibile nel Threat Detection Marketplace previa registrazione.
Esplora Threat Detection Marketplace per raggiungere oltre 100.000 regole di rilevamento qualificate, multi-vendor e multi-strumento, personalizzate per oltre 20 tecnologie leader di mercato SIEM, EDR, NTDR e XDR. Appassionato di contribuire alla comunità cyber globale arricchendo la piattaforma Detection as Code con i tuoi contenuti di rilevamento? Unisciti al nostro Threat Bounty Program per un futuro più sicuro!
