Tenable warnt vor Zero-Day-Schwachstelle in Windows 10
(Quelle: Adobe Stock/Timetoact)
23. Juli 2021 -
In mehreren Versionen von Windows 10 wurde ein Zero-Day identifiziert, der es einem eigentlich nicht-privilegierten beziehungsweise nicht-autorisierten Benutzer ermöglicht, die Registry zu lesen und sein Berechtigungslevel zu erhöhen.
Eine Sicherheitslücke in Windows 10 ermöglicht es böswilligen Akteuren, auf sensible Informationen zuzugreifen. Microsoft hat einen Out-of-Band-Informationshinweis über die Schwachstelle, aber noch keine Patches veröffentlicht.
"Die Windows Elevation of Privilege-Schwachstelle (CVE-2021-36934), die von IT-Sicherheitsforschern als Hivenightmare oder SeriousSAM bezeichnet wird, ist ein Zero-Day, der bestimmte Versionen von Windows 10 betrifft", so Satnam Narang, Staff Research Engineer bei Tenable.
Die Sicherheitslücke ermöglicht es nicht-autorisierten Benutzern, sensible Dateien zu lesen, die normalerweise nur für Administratoren zugänglich sind. Um die Schwachstelle auszunutzen, muss der Volume Shadow Copy Service (VSS) verfügbar sein. Die Sicherheitsexperten weisen darauf hin, dass die VSS-Schattenkopie automatisch angelegt wird, wenn das Systemlaufwerk grösser als 128 Gigabyte ist und ein Windows-Update oder eine MSI-Datei installiert wurde.
"Die Windows Elevation of Privilege-Schwachstelle (CVE-2021-36934), die von IT-Sicherheitsforschern als Hivenightmare oder SeriousSAM bezeichnet wird, ist ein Zero-Day, der bestimmte Versionen von Windows 10 betrifft", so Satnam Narang, Staff Research Engineer bei Tenable.
Die Sicherheitslücke ermöglicht es nicht-autorisierten Benutzern, sensible Dateien zu lesen, die normalerweise nur für Administratoren zugänglich sind. Um die Schwachstelle auszunutzen, muss der Volume Shadow Copy Service (VSS) verfügbar sein. Die Sicherheitsexperten weisen darauf hin, dass die VSS-Schattenkopie automatisch angelegt wird, wenn das Systemlaufwerk grösser als 128 Gigabyte ist und ein Windows-Update oder eine MSI-Datei installiert wurde.
Nutzer können überprüfen, ob die VSS-Schattenkopien existieren oder nicht, indem sie einen bestimmten Befehl auf ihren Systemen ausführen. Eine erfolgreiche Ausnutzung dieses Fehlers würde einem lokalen Angreifer die Möglichkeit geben, seine Privilegien zu erhöhen, Passwörter und Schlüssel zu sammeln sowie Zugriff auf einen Account zu erhalten, um einen Silver-Ticket-Angriff durchzuführen.
Zum jetzigen Zeitpunkt beschränkt sich die Schadensbegrenzung auf die Änderung von Zugriffskontrolllisten, um Benutzer am Lesen bestimmter Dateien zu hindern, und auf das Entfernen von VSS-Schattenkopien vom System. "Diese Abhilfemaßnahmen könnten aber bestimmte Funktionen des Systems beeinträchtigen.", so Narang weiter. (swe)
Zum jetzigen Zeitpunkt beschränkt sich die Schadensbegrenzung auf die Änderung von Zugriffskontrolllisten, um Benutzer am Lesen bestimmter Dateien zu hindern, und auf das Entfernen von VSS-Schattenkopien vom System. "Diese Abhilfemaßnahmen könnten aber bestimmte Funktionen des Systems beeinträchtigen.", so Narang weiter. (swe)