HiveNightmare（CVE-2021-36934）の悪用試行を検出する方法

2021年7月は、サイバーセキュリティのイベントが非常に活発で厳しい月となっています。サイバーの世界はまだ回復途中であり PrintNighmareの脆弱性 (CVE-2021-1675)、 Kaseyaサプライチェーン攻撃、および SolarWinds Serv-Uのゼロデイ (CVE-2021-35211)、Windowsは製品内の新たな重大な欠陥を正式に発表しました。最近公表されたHiveNightmare（別名SeriousSAM）バグは、過去2年間にリリースされたすべてのWindows 10バージョンに影響を及ぼし、特権のないWindows 10ユーザーが管理者の資格情報を取得することを可能にします。

HiveNightmare (CVE-2021-36934) の説明

HiveNigtmare、またはSerious SAMは、 特権昇格の問題 であり、これはSecurity Account Manager (SAM) データベース内の複数のシステムファイルでのアクセス制御リスト (ACL) 内の許可不足により発生します。この誤った設定により、低特権ユーザーがホストのSAM、システム、セキュリティのWindowsレジストリハイブファイルを読み取ることができます。これらの重要なファイルには、アカウントのパスワードハッシュ、オリジナルのWindowsインストールパスワード、すべてのコンピューターのプライベートキーを解読するために使用されるDPAPIコンピューターキーなどを含む、非常に機密性の高い詳細が含まれています。

HiveNightmareの欠陥が成功裏に悪用されると、ローカルの敵対者がSYSTEM権限で任意のコードを実行できます。その結果、ハッカーはターゲットインスタンスで悪意のあるソフトウェアを起動したり、機密データにアクセスして操作したり、新しい管理者アカウントを作成したりすることができます。しかし、CVE-2021-36934を利用するには制限があります。ハッカーは攻撃を進めるためにターゲットデバイスでコードを実行する能力を持たねばなりません。

この欠陥は 特定され サイバーセキュリティ研究者のJonas Lykkegaardによってベンダーに報告されました。Microsoftによれば、この誤設定は以前から存在し、ビルド1809から以降のすべてのWindows 10バージョンに影響を与えています。幸運にも、現在までにWeb上に公開されたProof of Concept (PoC) エクスプロイトは存在しません。

HiveNightmareの検出と緩和策

Microsoftは2021年7月20日にHiveNightmareの脆弱性(CVE-2021-36934)を確認し、現在この問題を解決するための専用の修正をリサーチしています。今のところ、公式なパッチは提供されていませんが、Microsoftは 公開している ワークアラウンドは、コマンドプロンプトまたはPowerShellでのアクセス制限とVolume Shadow Copy Service (VSS) のシャドウコピーの削除を必要とします。

SeriousSAM欠陥を利用する可能性のある攻撃を特定し緩和するために、サイバーセキュリティコミュニティを支援するため、SOC Primeは影を含むワークステーションを特定し、CVE-2021-36934のエクスプロイトに先行する疑わしい操作を明らかにする検出ルールをリリースしました。

影を含むワークステーションを特定する [HiveNightmare/SeriousSAM/CVE-2021-36934攻撃エクスプロイトに関連] (監査を介して)

このSOC Primeの検出ルールは、SAM/システムファイル上の許可に誤りが含まれる古いシャドウコピーのスナップショットを含むワークステーションを特定するために使用できます。

SIEM & SECURITY ANALYTICS: Azure Sentinel、ELK Stack、Chronicle Security、Splunk、Sumo Logic、ArcSight、QRadar、Humio、FireEye、LogPoint、Graylog、Regex Grep、RSA NetWitness、Apache Kafka ksqlDB、Qualys、Securonix

SAM/SECURITYでのHiveNightmare/SeriousSAM/CVE-2021-36934攻撃エクスプロイト前の疑わしい操作 (コマンドライン経由)

この検出ルールは、CVE-2021-36934攻撃エクスプロイトに関連する敵対者による疑わしい操作を特定します。例えば、icaclsでSAM/システムファイルの許可をチェックします。

SIEM & SECURITY ANALYTICS: Azure Sentinel、ELK Stack、Chronicle Security、Splunk、Sumo Logic、ArcSight、QRadar、Humio、SentinelOne、Microsoft Defender ATP、CrowdStrike、FireEye、Carbon Black、LogPoint、Graylog、Regex Grep、Microsoft PowerShell、RSA NetWitness、Apache Kafka ksqlDB、Qualys、Securonix

ルールは MITRE ATT&CKの手法にマッピングされて おり、特権昇格の戦術と有効なアカウント (t1078) 手法のローカルアカウントサブテクニック (t1078.003) に対処しています。検出コンテンツは、登録後にThreat Detection Marketplaceで利用可能です。

Threat Detection Marketplaceをチェックして、20以上の市場をリードするSIEM、EDR、NTDR、XDRテクノロジー用にカスタマイズされた10万以上の品質の高いクロスベンダー、クロスツール検出ルールを見つけてください。Detection as Codeプラットフォームに独自の検出コンテンツを追加してサイバーコミュニティに貢献することに興味がありますか？より安全な未来のためにThreat Bounty Programに参加してください！

プラットフォームに移動 Threat Bountyに参加