Overslaan en naar de inhoud gaan

Windows' wachtwoorden zichtbaar voor gewone gebruikers

Via de testversie van Windows 11 is een fout gevonden die gewone gebruikers toegang geeft tot alle opgeslagen wachtwoorden in het Microsoft-besturingssysteem. Ook Windows 10 blijkt, al sinds 2019, de SAM-database (Security Account Manager) open te stellen voor non-beheerders. Iemand met minimale toegang tot een computer kan hierlangs accounts met hogere rechten kapen.
Windows 10 taskbar
© Microsoft
Microsoft

Dit beveiligingsgat is ontdekt op Windows 11, waarvan een vroege testversie beschikbaar is voor ontwikkelaars en nieuwsgierige gebruikers. Aanvankelijk leek het blootstellen van het SAM-bestand een regressiefout in het aankomende besturingssysteem, maar nader onderzoek wees uit dat de fout ook in Windows 10 zit. De algemene SAM-toegang, via Volume Shadow Copy Service, is al zeker sinds 2018 aanwezig in Windows 10.

Automatisch aangemaakt

Op Windows-systemen waar de snapshot-functie Volume Shadow Copy Service (VSS) is ingeschakeld, blijkt de SAM-database leesbaar te zijn voor accounts met gewone, lage gebruikersrechten. Het eigenlijke SAM-bestand is in gebruik door het besturingssysteem en daardoor niet normaal toegankelijk. Via de kopie die VSS aanmaakt, is de interne database met Windows' wachtwoorden wel te bereiken.

Security-orgaan US-CERT (het Computer Emergency Readiness Team van de Verenigde Staten) waarschuwt dat VSS soms onbewust staat ingeschakeld. VSS-schaduwkopieën worden namelijk automatisch aangemaakt op computers met een systeemschijf die groter is dan 128 GB wanneer daarop Windows Update wordt uitgevoerd, of wanneer een MSI-installatiebestand wordt geïnstalleerd. VSS dient namelijk voor de functie van systeemherstel, wanneer een update of app-installatie niet goed uitpakt.

SYSTEM-account

Het uitlezen van het SAM-bestand levert kwaadwillenden dan hashes van wachtwoorden op voor accounts op de doelcomputer. Naast het SAM-bestand zijn ook de gevoelige SYSTEM- en SECURITY-bestanden van Windows leesbaar. Deze drie kernelementen voor security in Microsofts OS zijn zogeheten hivebestanden van het Windows-register.

Daarlangs zijn de DPAPI-sleutels (Data Protection Application Programming Interface) van het besturingssysteem toegankelijk waarmee alle privé-encryptiesleutels zijn te decoderen. Een aanvaller kan ook toegang krijgen tot het diepgaande SYSTEM-account in Windows. De eigenlijke fout is een verkeerde configuratie van de access control list (ACL) in Windows, die normaliter toegang tot de drie cruciale kernelementen beperkt tot beheerdersaccounts, die dan hoge systeemrechten hebben.

Workarounds

Deze kwetsbaarheid heeft de namen HiveNightmare en SeriousSAM gekregen, meldt het US-CERT. Microsoft bevestigt de fout, en geeft aan dat Windows 10 vanaf de 1809-release vatbaar is. Die versie van Windows 10 is in de herfst van 2018 uitgekomen, en sinds opgevolgd door een vijftal nieuwere releases. Die zes versies zijn inclusief de vroege testrelease van het aankomende Windows 11 vergaand te hacken.

Microsoft onderzoekt de zaak en stelt dat er nu nog geen misbruik van deze kwetsbaarheid wordt gemaakt, maar erkent dat dit waarschijnlijk wel gaat gebeuren. Ondertussen biedt de Windows-maker enkele workarounds om dit beveiligingsgat enigszins af te dekken. Beheerders moeten daarvoor handmatig de toegang beperken tot de hele map met daarin de SAM-, SYSTEM- en SECURITY-bestanden.

Impact op backup en herstel

Daarnaast adviseert Microsoft om VSS-kopieën te wissen. Deze stap heeft als nadelige bijwerking dat het hersteloperaties voor Windows verhindert. Dit geldt ook voor de mogelijkheid van backup-applicaties van derden om data te herstellen. Toch is het raadzaam om dit nadeel te accepteren, want uitvoeren van slechts één van de twee workarounds biedt geen bescherming tegen misbruik, merkt Microsoft op in een voetnoot.

Reacties

Om een reactie achter te laten is een account vereist.

Inloggen Word abonnee

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in