Beheer

Security
Windows 10

Windows' wachtwoorden zichtbaar voor gewone gebruikers

Wachtwoordendatabase in Windows 10 en 11 per ongeluk opengezet.

© Microsoft
21 juli 2021

Wachtwoordendatabase in Windows 10 en 11 per ongeluk opengezet.

Via de testversie van Windows 11 is een fout gevonden die gewone gebruikers toegang geeft tot alle opgeslagen wachtwoorden in het Microsoft-besturingssysteem. Ook Windows 10 blijkt, al sinds 2019, de SAM-database (Security Account Manager) open te stellen voor non-beheerders. Iemand met minimale toegang tot een computer kan hierlangs accounts met hogere rechten kapen.

Dit beveiligingsgat is ontdekt op Windows 11, waarvan een vroege testversie beschikbaar is voor ontwikkelaars en nieuwsgierige gebruikers. Aanvankelijk leek het blootstellen van het SAM-bestand een regressiefout in het aankomende besturingssysteem, maar nader onderzoek wees uit dat de fout ook in Windows 10 zit. De algemene SAM-toegang, via Volume Shadow Copy Service, is al zeker sinds 2018 aanwezig in Windows 10.

Automatisch aangemaakt

Op Windows-systemen waar de snapshot-functie Volume Shadow Copy Service (VSS) is ingeschakeld, blijkt de SAM-database leesbaar te zijn voor accounts met gewone, lage gebruikersrechten. Het eigenlijke SAM-bestand is in gebruik door het besturingssysteem en daardoor niet normaal toegankelijk. Via de kopie die VSS aanmaakt, is de interne database met Windows' wachtwoorden wel te bereiken.

Security-orgaan US-CERT (het Computer Emergency Readiness Team van de Verenigde Staten) waarschuwt dat VSS soms onbewust staat ingeschakeld. VSS-schaduwkopieën worden namelijk automatisch aangemaakt op computers met een systeemschijf die groter is dan 128 GB wanneer daarop Windows Update wordt uitgevoerd, of wanneer een MSI-installatiebestand wordt geïnstalleerd. VSS dient namelijk voor de functie van systeemherstel, wanneer een update of app-installatie niet goed uitpakt.

SYSTEM-account

Het uitlezen van het SAM-bestand levert kwaadwillenden dan hashes van wachtwoorden op voor accounts op de doelcomputer. Naast het SAM-bestand zijn ook de gevoelige SYSTEM- en SECURITY-bestanden van Windows leesbaar. Deze drie kernelementen voor security in Microsofts OS zijn zogeheten hivebestanden van het Windows-register.

Daarlangs zijn de DPAPI-sleutels (Data Protection Application Programming Interface) van het besturingssysteem toegankelijk waarmee alle privé-encryptiesleutels zijn te decoderen. Een aanvaller kan ook toegang krijgen tot het diepgaande SYSTEM-account in Windows. De eigenlijke fout is een verkeerde configuratie van de access control list (ACL) in Windows, die normaliter toegang tot de drie cruciale kernelementen beperkt tot beheerdersaccounts, die dan hoge systeemrechten hebben.

Workarounds

Deze kwetsbaarheid heeft de namen HiveNightmare en SeriousSAM gekregen, meldt het US-CERT. Microsoft bevestigt de fout, en geeft aan dat Windows 10 vanaf de 1809-release vatbaar is. Die versie van Windows 10 is in de herfst van 2018 uitgekomen, en sinds opgevolgd door een vijftal nieuwere releases. Die zes versies zijn inclusief de vroege testrelease van het aankomende Windows 11 vergaand te hacken.

Microsoft onderzoekt de zaak en stelt dat er nu nog geen misbruik van deze kwetsbaarheid wordt gemaakt, maar erkent dat dit waarschijnlijk wel gaat gebeuren. Ondertussen biedt de Windows-maker enkele workarounds om dit beveiligingsgat enigszins af te dekken. Beheerders moeten daarvoor handmatig de toegang beperken tot de hele map met daarin de SAM-, SYSTEM- en SECURITY-bestanden.

Impact op backup en herstel

Daarnaast adviseert Microsoft om VSS-kopieën te wissen. Deze stap heeft als nadelige bijwerking dat het hersteloperaties voor Windows verhindert. Dit geldt ook voor de mogelijkheid van backup-applicaties van derden om data te herstellen. Toch is het raadzaam om dit nadeel te accepteren, want uitvoeren van slechts één van de twee workarounds biedt geen bescherming tegen misbruik, merkt Microsoft op in een voetnoot.

Lees meer over Beheer OP AG Intelligence
2
Reacties
mia santana 27 juli 2021 03:47

Vladimir.hacks op instagram hielp me de telefoon van mijn partner te hacken toen ik voelde dat hij me bedroog. Allemaal dankzij hem.

Pietertje 24 juli 2021 11:53

Dus de print spooler is zo lek als een zeef en nu dit ook nog. Je vraagt je af of waarom je als ICT beheerder eigenlijk nog moeite doet. Alsof je je deur op slot doet en de sleutel aan een haakje naast de deur hangt. Niet 1 sleutel, maar een stuk of 5 zodat de ene inbreker de andere niet hindert in z'n poging om binnen te geraken.

Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.