Unter Windows 10 1809 und höher und auch unter Windows 11 ist eine Sicherheitslücke, die Jonas L entdeckt hat. Dabei kann ein Angreifer beliebigen Code mit SYSTEM-Rechten ausführen und Programme installieren, bzw. auch Daten löschen.
Betroffen davon ist unter anderem auch die Security Accounts Manager (SAM)-Datenbank (Speicherort bspw. für Benutzeranmeldedaten und das Kennwort). Diese befindet sich unter %windir%\system32\config\SAM. Ein Angreifer muss aber die Möglichkeit haben, Code auf einem Zielsystem auszuführen, um diese Sicherheitslücke auszunutzen.
Microsoft hat nun vorerst einen temporären Fix zur Verfügung gestellt, bevor die Sicherheitslücke dann über ein Update geschlossen wird.
- Um die Ausnutzung dieser Sicherheitsanfälligkeit zu verhindern, muss der Zugriff eingeschränkt und Schattenkopien gelöscht werden.
- Eingabeaufforderung oder PowerShell als Administrator öffnen
icacls %windir%\system32\config\*.* /inheritance:e
hineinkopieren und Enter drücken
- Sollte dieser Befehl nicht funktionieren dann diesen nehmen (Danke an A. Smith)
icacls c:\windows\system32\config\*.* /inheritance:e
- Schattenkopien des Volume Shadow Copy Service (VSS) löschen
- Alle Systemwiederherstellungspunkte und Schattenvolumes, die vor der Einschränkung des Zugriffs auf %windir%\system32\config vorhanden waren löschen.
- Optional neuen Systemwiederherstellungspunkt erstellen
- Auswirkungen der Abhilfemaßnahme: Das Löschen von Schattenkopien kann sich auf Wiederherstellungsvorgänge auswirken, einschließlich der Möglichkeit, Daten mit Sicherungsanwendungen von Drittanbietern wiederherzustellen.
Windows 11 Tutorials und Hilfe
- In unserem Windows 11 Wiki findet ihr sehr viele hilfreiche Tipps und Tricks.
- Falls ihr Fragen habt, dann stellt diese ganz einfach bei uns im Forum.
- Installationsmedien: Aktuelle Windows 11 ISOs findet ihr immer in der rechten Sidebar hier im Blog im Download-Bereich.
- Windows 11 neu clean installieren Tipps und Tricks.
- Windows 11 Inplace Upgrade Reparatur oder Feature Update.
- Automatisch anmelden Pin entfernen Windows 11.
- Alle Beiträge zu Windows 11 im Blog findet ihr über diese Seite. Wobei auch alle anderen Artikel interessant sein können.
Windows 10 Tutorials und Hilfe
In unserem Windows 10 Wiki findet ihr sehr viele hilfreiche Tipps und Tricks. Falls ihr Fragen habt, dann stellt diese ganz einfach bei uns im Forum.
- Installationsmedien: Aktuelle Installationsdateien findet ihr hier immer in der rechten Sidebar. Windows 10 21H2 ISO (19044), oder href=“https://www.deskmodder.de/blog/2021/02/18/windows-10-21h1-19043-iso-esd-inkl-updates-deutsch-english/“ rel=“noopener“ target=“_blank“>Windows 10 21H1 (19043) ISO
- Installation: Windows 10 Clean installieren, Win 10 2004 / 20H2 / 21H1 neu installieren
- Aktuelle Probleme mit der: Windows 10 2004 / 20H2 / 21H1
- Reparaturen: Inplace Upgrade Reparatur, Win 10 reparieren über DISM, sfc und weiteres, Windows Update reparieren, Startmenü reparieren, Apps reparieren, Store reparieren, Netzwerk reparieren
- Anmeldung: Win 10 automatische Anmeldung
- Entfernen, Deinstallieren: Apps deinstallieren
- Datei Explorer: Ordner unter Dieser PC entfernen, Netzwerk, OneDrive u.a. im Explorer entfernen
- Richtige Nutzung: Startmenü richtig nutzen, Suche richtig nutzen,
- Wichtig: In jedem Tutorial steht, für welche Version es geeignet ist.
„Das System kann den angegebenen Pfad nicht finden. 0 Dateien erfolgreich verarbeitet, bei 1 Dateien ist ein Verarbeitungsfehler aufgetreten.“ – Windows , 22000.71. Das ist das Feedback nach dem Befehl….
Das hat nicht geklappt, oder?
Hi @Olaf W1
hab die selbe Meldung erhalten, ob das nun gut ist oder schlecht, kann ggf. hier jemand kurz Licht ins Dunkel bringen?
Danke im Voraus
Hallo @Olaf W1
hab den Befehl dahingehend abgeändert, warum auch immer funktionierte die „windir“ Variable nicht.
icacls c:\windows\system32\config\*.* /inheritance:e
Danach die Meldung: 73 Dateien erfolgreich verarbeitet, bei 0 Dateien ist ein Verarbeitungsfehler aufgetreten.
CU
thx so geht es 60 Dateien erfolgreich verarbeitet
gepostet mit der Deskmodder.de-App für iOS
Danke A. Smith.
Ich hab ihn oben mal hinzugefügt.
THX! Das hat dann auch bei mir geklappt. Ich dachte, er findet mit den Variablen das Verzeichnis allein und hab die Syntax deshalb gar nicht angefasst…
%windir% existiert nur in der Eingabeaufforderung, nicht jedoch in der PowerShell.
Also betrifft es den normal Nutzer nicht und kann bis zum August Patchday warten?
Weil damit man die Sicherheitslücke ausnutzen kann, braucht man einen Zugriff am Gerät mit Admin Rechte.
Also wer kein Remote mit Adminrechte laufen hat und wo man „alleine“ am PC ist, ohne hundert andere Nutzer, ist es kein hohes Sicherheitsrisiko – versteh ich das richtig?
Das interessiert mich auch, hoffentlich bekommst Du eine Antwort.
Es muss nur Schadcode platziert werden. Dann kann die Lücke ausgenutzt werden. Das hat nichts mit Remote oder Admin zu tun.
Danke, zum Glück hatte ich das Problem noch nicht.
Mich interessiert trotzdem, wie von außen jemand das tun könnte. Ich habe meinen Router schon so sicher gemacht wie es nur geht.
Wie das geht? Zum Beispiel per email oder nen Crack der Schadcode platziert oder malware oder oder oder.
Mail und Malware sind klar, aber was ist ein Crack? Ich habe nicht so viel Ahnung davon, deshalb lese ich ja hier mit.
ein Crack ist etwas wo man einen Kopierschutz umgehen kann z.b. Für Spiele oder Software
gepostet mit der Deskmodder.de-App für iOS
Achso reicht aber auch, wenn du nen angreifbaren Treiber installiert hast. NVidia zeigt ja gerne mal Lücken auf. Nen Crack eben zum Beispiel Resident Evil damit du das flüssig zocken kannst.
Wenn du bspw. ein Programm oder Spiel mit einem „Patch“ anstatt einer Seriennummer illegal aktivierst, das bezeichnet man als Crack.
Zocken tue ich nicht.
Danke, moinmoin, habe ich nicht.
Schattenkopien löschen mit:
vssadmin delete shadows /allreicht das?
klar, aber ich würde nur das OS Laufwerk nehmen:
vssadmin DELETE shadows /FOR=C:
Zitat: „Microsoft hat nun vorerst einen temporären Fix zur Verfügung gestellt, bevor die Sicherheitslücke dann über ein Update geschlossen wird.“
Es kann doch irgendwie nicht angehen, dass Microsoft den oben angegebenen Workaround tatsächlich auch von Normal-Usern (zu denen ich mich auch zähle) erwartet.
Ich kann z.B. nicht mal im Vorfeld überblicken, was diese Einstellungen überhaupt ändern, löschen, unterlassen, etc. .
Allein die Frage von GwenDragon zeigt doch, dass schon allein Unsicherheit bezüglich des Löschens der Schattenkopien besteht, und selbst den von ihm angegebenen Befehl finde ich oben in der „Lösung“ nicht einmal aufgeführt.
Woher soll ich den aber kennen?
Natürlich kann ich alles per Copy & Paste durchführen; weiß dann aber immer noch nicht, was ich später unter Umständen wieder zurücknehmen muss. Wenn der Hinweis dazu dann 3 Wochen später hier im Blog auftaucht und ich beispielsweise nicht mitlese, im Urlaub bin, usw., weiß ich unter Umständen gar nicht mehr, ob alles im Reinen ist, oder nicht.
Das Ganze ist halt nicht etwas in der Art „Bitte den DVB-T2-Receiver einschalten, das Freischaltsignal abwarten, und dann ist alles ok“.
Die Beschreibung ist so wie sie oben steht gnadenlos übertrieben.
Durch die Lücke kann eine Datenbank mit verschlüsselten und gehashten Passwörtern für alle Konten des Systems mit Benutzerrechten gelesen werden, während dafür normalerweise höhere Rechte notwendig sind.
Damit kann diese Datenbank dann kopiert werden, wenn ein Benutzer mit seinen normalen Rechten z.B. entsprechende Schadsoftware ausführt. Aus der Datei müsste dann ein Angreifer zuerst mal die Passwörter auslesen. Das dauert, selbst mit Rainbow-Tables und entsprechenden GPU-Funktionen zum Rechnen von Hashes.
Die ganze Geschichte ist also nichts, worüber sich ein Normalmensch für den heimischen PC Gedanken machen müsste. Wenn das im August gefixt wird, sollte das für die normalen Privatnutzer locker ausreichen.
Weiteres https://www.kb.cert.org/vuls/id/506989 (EN).