Upozorňujeme na zranitelnost CVE-2021-36934 v systémech Windows 10 verze 1809 a novější (včetně Windows 11 Preview). Zranitelnost spočívá v možnosti přistoupit k obsahu systémových registrů SAM, SYSTEM a SECURITY i s účtem běžného uživatele, pokud byly soubory zálohovány službou Volume Shadow Copy, která je v základním nastavení spuštěna. Jelikož soubory uchovávají uživatelská a systémová hesla a šifrovací klíče, lze tento přístup zneužít k eskalaci oprávnění.
Zranitelnost může představovat závažný problém zejména v případě, kdy je je počítač připojen v doméně a bylo na něj přístupováno účty serverových nebo doménových administrátorů, čímž mohou hashe jejich hesel zůstat v těchto souborech přístupné. Útočník zneužívající tuto zranitelnost poté může dané účty a následně doménu kompromitovat i bez předchozí eskalace oprávnění. Zranitelnost již byla řadou bezpečnostních výzkumníků otestována a bylo k ní veřejně publikováno několik nástrojů k vyčtení přihlašovacích údajů, včetně modulu do rozšířeného nástroje Mimikatz. Lze tedy očekávat, že v případě kompromitace zařízení na úrovní koncového uživatele bude na neošetřených systémech docházet k jejímu zneužití. Opravná aktualizace v současné době není k dispozici, její vydání se očekává v následujících dnech. Microsoft ke zranitelnost prozatím vydal pokyny k zabezpečení, ve kterých doporučuje:
- Explicitně omezit přístup k adresáři obsahující registry %windir%\system32\config
- Smazat Shadow Copy vytvořené před provedením předchozího bodu
Podrobnosti k instrukcím naleznete na https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36934
Je také doporučeno monitorovat nestandardní akce uživatele vůči registrovým databázím nebo Shadow copy svazkům a dodržovat v organizaci princip nejnižšího nutné oprávnění při administraci koncových stanic.
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36934
https://windowsreport.com/hivenightmare-privilege-escalation-flaw-hits-windows-10-11/
https://www.blumira.com/sam-database-vulnerability/