20. Juli 2021, 07:20
Lesezeit: ca. 1 Min

Windows SAM-melsurium mit Schattenkopien

PrintNightmare1 ist noch nicht ausgestanden und offenbart immer weitere Sicherheitslücken da bahnt sich die nächste “developing Story” bei Windows an:

Bislang bestätigt für Windows 10 und 11 hat Microsoft die zentrale Datenbank der Sicherheitskontenverwaltung (SAM)2 mit allen Hashes für die Authentifizierung frei zugänglich gemacht. Normalerweise wird die SAM-Datenbank vom System besonders geschützt, nicht jedoch die erstellten Schattenkopien auf dem Systemdatenträger. Diese sind by Design & Default aktiviert. Ein kollosaler Fail, da jedes Sandboxing einer Anwendung ausgehebelt wird wenn die SYSTEM-Konto Hashes frei verfügbar sind. Eine Zeile Powershell reicht aus:

foreach($i in @("SYSTEM","SAM")){[System.IO.File]::Copy("\\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\Windows\System32\config\$i", "$i")};

Einfache Kennwörter können online mit Hash-Datenbanken oder Hashcat schnell ermittelt werden. Möglicherweise sind auch ältere Windowsversionen mit aktivierten Schattenkopien auf dem Systemlaufwerk betroffen.

Benjamin Delphy twittert bereits:3

I’m not sure I’ll have enough meme to finish the month.

Es erscheint mir, dass die Tage des Windows NT-Modells lange überschritten sind. An allen Ecken und Enden knallt es und die jetzige Windows-Entwicklergeneration scheint keinen Schimmer mehr davon zu haben, was deren Vorgänger in den 90ern gemacht und an Sicherheitskonzepten gedacht haben.


  1. https://blog.jakobs.systems/blog/20210630-window-drucker-dll/ ↩︎

  2. https://de.wikipedia.org/wiki/Security_Accounts_Manager ↩︎

  3. https://twitter.com/gentilkiwi/status/1417229454305267714#m ↩︎

© 2021 Tomas Jakobs - Impressum und Datenschutzhinweis