Windows' wachtwoorden zichtbaar voor gewone gebruikers

Dit beveiligingsgat is ontdekt op Windows 11, waarvan een vroege testversie beschikbaar is voor ontwikkelaars en nieuwsgierige gebruikers. Aanvankelijk leek het blootstellen van het SAM-bestand een regressiefout in het aankomende besturingssysteem, maar nader onderzoek wees uit dat de fout ook in Windows 10 zit. De algemene SAM-toegang, via Volume Shadow Copy Service, is al zeker sinds 2018 aanwezig in Windows 10.

Automatisch aangemaakt

Op Windows-systemen waar de snapshot-functie Volume Shadow Copy Service (VSS) is ingeschakeld, blijkt de SAM-database leesbaar te zijn voor accounts met gewone, lage gebruikersrechten. Het eigenlijke SAM-bestand is in gebruik door het besturingssysteem en daardoor niet normaal toegankelijk. Via de kopie die VSS aanmaakt, is de interne database met Windows' wachtwoorden wel te bereiken.

Security-orgaan US-CERT (het Computer Emergency Readiness Team van de Verenigde Staten) waarschuwt dat VSS soms onbewust staat ingeschakeld. VSS-schaduwkopieën worden namelijk automatisch aangemaakt op computers met een systeemschijf die groter is dan 128 GB wanneer daarop Windows Update wordt uitgevoerd, of wanneer een MSI-installatiebestand wordt geïnstalleerd. VSS dient namelijk voor de functie van systeemherstel, wanneer een update of app-installatie niet goed uitpakt.

SYSTEM-account

Het uitlezen van het SAM-bestand levert kwaadwillenden dan hashes van wachtwoorden op voor accounts op de doelcomputer. Naast het SAM-bestand zijn ook de gevoelige SYSTEM- en SECURITY-bestanden van Windows leesbaar. Deze drie kernelementen voor security in Microsofts OS zijn zogeheten hivebestanden van het Windows-register.

Daarlangs zijn de DPAPI-sleutels (Data Protection Application Programming Interface) van het besturingssysteem toegankelijk waarmee alle privé-encryptiesleutels zijn te decoderen. Een aanvaller kan ook toegang krijgen tot het diepgaande SYSTEM-account in Windows. De eigenlijke fout is een verkeerde configuratie van de access control list (ACL) in Windows, die normaliter toegang tot de drie cruciale kernelementen beperkt tot beheerdersaccounts, die dan hoge systeemrechten hebben.

Workarounds

Deze kwetsbaarheid heeft de namen HiveNightmare en SeriousSAM gekregen, meldt het US-CERT. Microsoft bevestigt de fout, en geeft aan dat Windows 10 vanaf de 1809-release vatbaar is. Die versie van Windows 10 is in de herfst van 2018 uitgekomen, en sinds opgevolgd door een vijftal nieuwere releases. Die zes versies zijn inclusief de vroege testrelease van het aankomende Windows 11 vergaand te hacken.

Microsoft onderzoekt de zaak en stelt dat er nu nog geen misbruik van deze kwetsbaarheid wordt gemaakt, maar erkent dat dit waarschijnlijk wel gaat gebeuren. Ondertussen biedt de Windows-maker enkele workarounds om dit beveiligingsgat enigszins af te dekken. Beheerders moeten daarvoor handmatig de toegang beperken tot de hele map met daarin de SAM-, SYSTEM- en SECURITY-bestanden.

Impact op backup en herstel

Daarnaast adviseert Microsoft om VSS-kopieën te wissen. Deze stap heeft als nadelige bijwerking dat het hersteloperaties voor Windows verhindert. Dit geldt ook voor de mogelijkheid van backup-applicaties van derden om data te herstellen. Toch is het raadzaam om dit nadeel te accepteren, want uitvoeren van slechts één van de twee workarounds biedt geen bescherming tegen misbruik, merkt Microsoft op in een voetnoot.