Detectar Tentativas de Exploração do HiveNightmare (CVE-2021-36934)
Índice:
Julho de 2021 continua a ser um mês realmente quente e difícil em termos dos eventos de cibersegurança impactantes. Enquanto o mundo cibernético ainda se recupera da vulnerabilidade PrintNightmare (CVE-2021-1675), ataque de cadeia de suprimentos Kaseya, e zero-day do SolarWinds Serv-U (CVE-2021-35211), a Windows anunciou oficialmente uma nova falha notória em seus produtos. Um bug recentemente divulgado, HiveNightmare (também conhecido como SeriousSAM), afeta todas as versões do Windows 10 lançadas nos últimos dois anos e permite que qualquer usuário não privilegiado do Windows 10 capture credenciais de administrador.
Descrição do HiveNightmare (CVE-2021-36934)
HiveNightmare, ou Serious SAM, é um problema de elevação de privilégio que ocorre devido a falhas de permissão dentro das Listas de Controle de Acesso (ACLs) em vários arquivos de sistema dentro do banco de dados Security Account Manager (SAM). A configuração incorreta permite que usuários de baixo privilégio leiam os arquivos hive do Registro do Windows SAM, system e security do host. Esses arquivos críticos incorporam detalhes altamente sensíveis, incluindo hashes de senha de contas, senha original de instalação do Windows, chaves de computador DPAPI aplicáveis para descriptografar todas as chaves privadas do computador, entre outros.
A exploração bem-sucedida da falha HiveNightmare permite que um adversário local execute código arbitrário com direitos de SISTEMA. Como resultado, o hacker pode lançar software malicioso na instância alvo, acessar e manipular dados sensíveis ou até mesmo criar novas contas de administrador. No entanto, há uma limitação para explorar o CVE-2021-36934. Um hacker deve obter a capacidade de executar código em um dispositivo alvo para prosseguir com o ataque.
A falha foi identificada pelo pesquisador de cibersegurança Jonas Lykkegaard e relatada ao fornecedor. De acordo com a Microsoft, a configuração incorreta está presente em seus produtos há anos, afetando todas as versões do Windows 10 a partir da build 1809 em diante. Felizmente, nenhuma prova de conceito (PoC) pública de exploração está disponível na web até o momento.
Detecção e Mitigação do HiveNightmare
A Microsoft confirmou a vulnerabilidade HiveNightmare (CVE-2021-36934) em 20 de julho de 2021, e o fornecedor está atualmente pesquisando esta questão para lançar uma correção dedicada. Por enquanto, não há patches oficiais liberados. No entanto, a Microsoft publicou uma solução alternativa que requer restringir o acesso com o Prompt de Comando ou PowerShell e deletar cópias de sombra do Volume Shadow Copy Service (VSS).
Para ajudar a comunidade de cibersegurança a identificar e mitigar possíveis ataques aproveitando a falha SeriousSAM, a SOC Prime lançou regras de detecção para identificar estações de trabalho que contenham Cópias de Sombra e revelarem Operações Suspeitas que antecedem a exploração do CVE-2021-36934.
Identificar Estações de Trabalho que contém Cópias de Sombra [relacionado à Exploração de Ataque HiveNightmare/SeriousSAM/CVE-2021-36934] (via auditoria)
Essa regra de detecção da SOC Prime pode ser usada para identificar estações de trabalho que contenham snapshots de cópia de sombra antiga com permissões incorretas em arquivos SAM/sistema.
SIEM & ANALÍTICA DE SEGURANÇA: Azure Sentinel, ELK Stack, Chronicle Security, Splunk, Sumo Logic, ArcSight, QRadar, Humio, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Apache Kafka ksqlDB, Qualys, Securonix
Operações Suspeitas no SAM/SECURITY Antes da Exploração de Ataque HiveNightmare/SeriousSAM/CVE-2021-36934 (via cmdline)
Essa regra de detecção identifica operações suspeitas por adversários relacionadas à possível Exploração de Ataque CVE-2021-36934, por exemplo, icacls para verificar permissões em arquivos SAM/SYSTEM.
SIEM & ANALÍTICA DE SEGURANÇA: Azure Sentinel, ELK Stack, Chronicle Security, Splunk, Sumo Logic, ArcSight, QRadar, Humio, SentinelOne, Microsoft Defender ATP, CrowdStrike, FireEye, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Qualys, Securonix
As regras são mapeadas para metodologia MITRE ATT&CK abordando as táticas de Escalada de Privilégio e a sub-técnica de Contas Locais (t1078.003) da técnica Contas Válidas (t1078). O conteúdo de detecção está disponível no Threat Detection Marketplace mediante registro.
Explore o Threat Detection Marketplace para acessar mais de 100 mil regras de detecção qualificadas, multi-fabricante e multi-ferramenta, adaptadas a mais de 20 tecnologias líderes de mercado em SIEM, EDR, NTDR e XDR. Está entusiasmado para contribuir com a comunidade cibernética mundial enriquecendo a plataforma Detection as Code com seu próprio conteúdo de detecção? Junte-se ao nosso Programa de Recompensas por Ameaças para um futuro mais seguro!
Ir para a Plataforma Junte-se ao Programa de Recompensas por Ameaças
