BEGIN:VCALENDAR
VERSION:2.0
METHOD:PUBLISH
PRODID:- PBCS IT-News //NONSGML Events //EN
CALSCALE:GREGORIAN
X-WR-CALNAME:ICAL-BLOG
BEGIN:VEVENT
UID:7cad5953-dae9-4a14-9cce-2fef597f066b
DTSTAMP:20260514T104908Z
CREATED:20260514T104908Z
SUMMARY:Jetzt auch noch HIVE Nightmare
DESCRIPTION:https://wp.pbcs.de/jetzt-auch-noch-hive-nightmare/ - Artikel vom: Do.\, 22. Juli 2021\, 11:26:30 - Elm Street lässt grüßen: Beim Schließen der kritischen #Sicherheitslücken in #Windows hat Microsoft diePrint-Nightmare Lücke nicht vollständig gepatcht. Deshalb kann ein Angreifer\, nur wenn er sich bereits im selben IP-Netzwerk befindet\, immer noch im System-Kontext Schadprogramme installieren. Die Lücke ist damit nicht mehr ganz so kritisch\, aber immer noch vorhanden. Eine andere Lösung\, als gänzlich auf das Drucken zu verzichten\, gibt es nicht.\n \nZusätzlich wurde vor wenigen Tagen eine weitere Lücke entdeckt: Der so benannte HIVE Nightmare. Damit kann ein Angreifer Sicherheitsinformationen und Kennwort-Hashes der lokalen Benutzer auslesen und somit sich leichter Adminrechte über das Gerät verschaffen.\n \nBetroffen sind die SAM\, SYSTEM\, and SECURITY registry hive files\, aber auch nur\, wenn man die Volumen-Schattenkopien (VSS) nutzt. Ohne diese Schattenkopien bedeutet eine defekte Registry Neuaufsetzen des ganzen Systems.\n \nFür die untere Lücke beschreibt Microsoft eine Art Workaround\, die zwar die Sicherheitslücke schließt\, die Nebenwirkung hat\, dass das System nach einem Fehler neu aufgesetzt werden muss. Registry-Fehler lassen sich so nicht mehr über eine Datensicherung restaurieren.\n \nSystemkoordinatoren sollten selbst entscheiden\, zumal die Lücke auch nur dann genutzt werden kann\, wenn man sich im selben Netzwerk befindet\, ob sie eine Registry ohne Datensicherung (VSS) oder das Restrisiko eines internen Angriffs in Kauf nehmen.\n \nDa die Passwort-Hashes der lokalen Benutzer nicht sonderlich gut verschlüsselt sind\, ist es insbesondere bei unsicheren Passwörtern eine Fragen von wenigen Minuten\, bis der Angreifer dann lokale Adminrechte über diesen Rechner hat.\n \nDomänencontroller und das Active Directory sind von der Lücke nicht betroffen. Laut Microsoft Artikel sind zwar auch Server 2019 betroffen\, sowie Windows 10 (ab Version 1809) und Windows 11\, es geht aber nur um die lokalen Benutzer und nicht die Active Directory Datenbank. Ein Angreifer kann damit nicht die Domain admin Rechte hacken.\n \nQuelle: Microsoft Security Bulletinhttps://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36934
LOCATION:https://wp.pbcs.de
CATEGORIES:Gelbe Kategorie
TRANSP:TRANSPARENT
X-MICROSOFT-CDO-BUSYSTATUS:FREE
SEQUENCE:0
CLASS:PUBLIC
PRIORITY:1
DTSTART:20260515T070000Z
DTEND:20260515T080000Z
BEGIN:VALARM
TRIGGER:-PT30M
ACTION:DISPLAY
DESCRIPTION:Reminder for Jetzt auch noch HIVE Nightmare
END:VALARM
END:VEVENT
END:VCALENDAR