So entschärfen Sie die Sicherheitslücke in Microsoft Windows 10, 11 SeriousSAM

  • Benutzer von Microsoft Windows 10 und Windows 11 sind durch eine neue ungepatchte Sicherheitslücke gefährdet, die kürzlich öffentlich bekannt wurde.

    Wie wir letzte Woche berichteten, ermöglicht die Schwachstelle – SeriousSAM – Angreifern mit niedrigen Berechtigungen den Zugriff auf Windows-Systemdateien, um einen Pass-the-Hash-Angriff (und potenziell Silver Ticket) durchzuführen.

    Angreifer können diese Schwachstelle ausnutzen, um gehashte Passwörter zu erhalten, die im Security Account Manager (SAM) und in der Registry gespeichert sind, und schließlich beliebigen Code mit SYSTEM-Rechten ausführen.

    Die schwerwiegendeSAM -Schwachstelle, die als CVE-2021-36934 verfolgt wird, existiert in der Standardkonfiguration von Windows 10 und Windows 11, insbesondere aufgrund einer Einstellung, die “Lese”-Rechte für die eingebaute Benutzergruppe erlaubt, die alle lokalen Benutzer enthält.

    Infolgedessen haben integrierte lokale Benutzer Zugriff auf die SAM-Dateien und die Registry, wo sie auch die Hashes einsehen können. Sobald der Angreifer den “Benutzer”-Zugriff hat, kann er ein Tool wie Mimikatz verwenden, um Zugriff auf die Registry oder SAM zu erhalten, die Hashes zu stehlen und sie in Passwörter umzuwandeln. Wenn sie auf diese Weise in die Domänenbenutzer eindringen, erhalten die Angreifer erhöhte Rechte im Netzwerk.

    Da es noch keinen offiziellen Patch von Microsoft gibt, ist die beste Möglichkeit, Ihre Umgebung vor der SeriousSAM-Schwachstelle zu schützen, die Implementierung von Härtungsmaßnahmen.

    Abschwächung von SeriousSAM

    Laut Dvir Goren, CTO bei CalCom, gibt es drei optionale Härtungsmaßnahmen: Löschen Sie alle Benutzer aus der eingebauten Benutzergruppe – das ist ein guter Anfang, schützt aber nicht, wenn die Administrator-Anmeldeinformationen gestohlen werden. Schränken Sie SAM-Dateien und Registry-Berechtigungen ein – erlauben Sie den Zugriff nur für Administratoren. Auch dies löst nur einen Teil des Problems, denn wenn ein Angreifer die Administrator-Anmeldeinformationen stiehlt, sind Sie immer noch anfällig für diese Sicherheitslücke. Erlauben Sie nicht die Speicherung von Passwörtern und Anmeldeinformationen für die Netzwerkauthentifizierung – diese Regel wird auch in den CIS-Benchmarks empfohlen. Durch die Implementierung dieser Regel wird kein Hash im SAM oder in der Registrierung gespeichert, wodurch diese Sicherheitsanfälligkeit vollständig entschärft wird.

    Wenn Sie GPOs zur Implementierung verwenden, stellen Sie sicher, dass der folgende UI-Pfad aktiviert ist:

    ComputerkonfigurationPoliciesWindows-EinstellungenSicherheitseinstellungenLokale RichtlinienSicherheitsoptionenNetzwerkzugriff: Speicherung von Kennwörtern und Anmeldeinformationen für die Netzwerkauthentifizierung nicht zulassen

    Obwohl die letzte Empfehlung eine gute Lösung für SeriousSAM bietet, kann sie sich negativ auf Ihre Produktion auswirken, wenn sie nicht ordnungsgemäß getestet wird, bevor sie eingeführt wird. Wenn diese Einstellung aktiviert ist, schlagen Anwendungen fehl, die geplante Aufgaben verwenden und die Hashes der Benutzer lokal speichern müssen.

    Abschwächen von SeriousSAM ohne das Risiko, die Produktion zu beeinträchtigen

    Im Folgenden finden Sie die Empfehlungen von Dvir zur Abschwächung, ohne dass es zu Ausfallzeiten kommt: Richten Sie eine Testumgebung ein, die Ihre Produktionsumgebung simuliert. Simulieren Sie alle möglichen Abhängigkeiten Ihres Netzwerks so genau wie möglich. Analysieren Sie die Auswirkungen dieser Regel auf Ihre Testumgebung. Wenn Sie Anwendungen haben, die auf lokal gespeicherte Hashes angewiesen sind, wissen Sie auf diese Weise im Voraus Bescheid und verhindern Produktionsausfälle. Setzen Sie die Richtlinie durch, wo es möglich ist. Stellen Sie sicher, dass neue Maschinen ebenfalls gehärtet sind und dass die Konfiguration nicht mit der Zeit abdriftet.

    Diese drei Aufgaben sind komplex und erfordern eine Menge Ressourcen und internes Fachwissen. Daher lautet die abschließende Empfehlung von Dvir, den gesamten Härtungsprozess zu automatisieren, um sich die Durchführung der Schritte 1, 2 und 3 zu sparen.

    Hier ist, was Sie von einem Hardening Automation Tool profitieren:

    • Generieren Sie automatisch einen möglichst genauen Bericht zur Auswirkungsanalyse – Härtungs-Automatisierungs-Tools “lernen” Ihre Produktionsabhängigkeiten und melden Ihnen die potenziellen Auswirkungen jeder Richtlinienregel.
    • Setzen Sie Ihre Richtlinie automatisch für Ihre gesamte Produktion von einem einzigen Kontrollpunkt aus durch – mit diesen Tools müssen Sie keine manuelle Arbeit, wie z. B. die Verwendung von GPOs, durchführen. Sie können kontrollieren und sicher sein, dass alle Ihre Maschinen gehärtet sind.
    • Behalten Sie Ihre Compliance-Stellung bei und überwachen Sie Ihre Maschinen in Echtzeit – Tools zur Härtungsautomatisierung überwachen Ihre Compliance-Stellung, warnen und beheben alle nicht autorisierten Änderungen an Konfigurationen und verhindern so Konfigurationsabweichungen.

    Härtungs-Automatisierungstools lernen die Abhängigkeiten direkt aus Ihrem Netzwerk und erstellen automatisch einen genauen Bericht zur Auswirkungsanalyse. Ein Härtungs-Automatisierungstool hilft Ihnen auch bei der Orchestrierung des Implementierungs- und Überwachungsprozesses.

    Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

    Einige Teile dieses Artikels stammen aus:
    thehackernews.com