Sicherheitslücke in Windows 10/11 macht Administratorkennwörter für lokale Benutzer verfügbar

Bildnachweis: Pixabay/CC0 Public Domain

EIN Twitter-Nutzer hat eine Windows 10/11-Schwachstelle gefunden und veröffentlicht, die lokalen Benutzern Administratorkennwörter offenlegt, die dann ihre Berechtigungen bis zum Administrator ausweiten können und ihnen den vollständigen Systemzugriff gewähren. Wie er in seinen Beiträgen feststellt, stellte er fest, dass die Daten des Windows Security Account Manager (SAM) von Benutzern mit sehr eingeschränkten Rechten gelesen werden konnten und ihnen Zugriff auf Administratorkennwörter gewährten. Microsoft hat offenbar Wind von der Sicherheitslücke bekommen und eine Zusammenfassung des Problems auf der Seite Sicherheitslücken veröffentlicht.

Die Nachricht von einer neuen Sicherheitslücke im Windows-Betriebssystem ist nicht gut für Microsoft und kommt nur wenige Wochen nach Warnungen über die PrintNightmare-Sicherheitslücke im Windows-Druckspooler. Laut Microsoft ist diese neue Schwachstelle das Ergebnis eines unzureichenden Schutzes von Zugriffskontrolllisten auf mehreren Systemdateien, zu denen auch die SAM-Datenbank gehört. Sie weisen ferner darauf hin, dass eine nicht autorisierte Person die Sicherheitsanfälligkeit nutzen könnte, um benutzerdefinierten Code auszuführen, der höhere Systemprivilegien ausnutzt und Benutzerdaten hinzufügen, ändern oder löschen könnte. Sie schließen mit der Feststellung, dass nicht autorisierte Benutzer die Möglichkeit haben müssten, Code auf solchen Systemen auszuführen, um die Schwachstelle ausnutzen zu können.

Andere auf Twitter und anderswo haben festgestellt, dass die Sicherheitsanfälligkeit nur für Systeme existiert, auf denen Build 1809 von Windows 10 und einige Versionen von Windows 11 ausgeführt wird. Sie stellen außerdem fest, dass die Sicherheitsanfälligkeit neben dem Zugriff auf SAM-Daten auch den Zugriff auf bestimmte System- und Sicherheitsdateien ermöglicht . Damit eine ruchlose Person die Sicherheitsanfälligkeit ausnutzen kann, muss das System über eine VSS-Schattenkopie des Systemlaufwerks verfügen. Diese Kopie kann auf Benutzersystemen aufgrund von unbeabsichtigten Aktionen vorhanden sein, die sie möglicherweise ergriffen haben, z. B. das Installieren einer Festplatte mit mehr als 128 GB und das anschließende Ausführen eines Windows-Updates. Das Hinzufügen eines Installationspaketdateiformats namens MSI wird dies ebenfalls tun. Benutzer, die wissen möchten, ob ihr System die Schwachstelle aufweist, können den Systembefehl vssadmin ausführen.

Microsoft weist darauf hin, dass sie Kunden aktualisieren werden, wenn sie mehr erfahren. Ein Zeitplan für einen Patch wurde noch nicht bekannt gegeben.


Leave a Comment