Národní úřad pro kybernetickou a informační bezpečnost

Do gesce Národního úřadu pro kybernetickou a informační bezpečnost patří také organizace a příprava kybernetických cvičení. Cvičení hrají nezastupitelnou roli při zajišťování kybernetické bezpečnosti České republiky. Umožňují věrně simulovat rozličné typy krizových situací a slouží jak technickému publiku, tak pracovníkům na nejvyšší úrovni s rozhodovacími pravomocemi. Při jejich tvorbě a provedení je zásadní úzká kooperace s dalšími partnery v rámci tzv. whole-of-government přístupu. Vedle edukativního prvku cvičení pomáhají budovat důvěru a utužovat vzájemné vztahy.

Hrozby

Upozornění na zranitelnost HiveNightmare

Upozorňujeme na zranitelnost CVE-2021-36934 v systémech Windows 10 verze 1809 a novější (včetně Windows 11 Preview). Zranitelnost spočívá v možnosti přistoupit k obsahu systémových registrů SAM, SYSTEM a SECURITY i s účtem běžného uživatele, pokud byly soubory zálohovány službou Volume Shadow Copy, která je v základním nastavení spuštěna. Jelikož soubory uchovávají uživatelská a systémová hesla a šifrovací klíče, lze tento přístup zneužít k eskalaci oprávnění.

Zranitelnost může představovat závažný problém zejména v případě, kdy je je počítač připojen v doméně a bylo na něj přístupováno účty serverových nebo doménových administrátorů, čímž mohou hashe jejich hesel zůstat v těchto souborech přístupné. Útočník zneužívající tuto zranitelnost poté může dané účty a následně doménu kompromitovat i bez předchozí eskalace oprávnění. Zranitelnost již byla řadou bezpečnostních výzkumníků otestována a bylo k ní veřejně publikováno několik nástrojů k vyčtení přihlašovacích údajů, včetně modulu do rozšířeného nástroje Mimikatz. Lze tedy očekávat, že v případě kompromitace zařízení na úrovní koncového uživatele bude na neošetřených systémech docházet k jejímu zneužití. Opravná aktualizace v současné době není k dispozici, její vydání se očekává v následujících dnech. Microsoft ke zranitelnost prozatím vydal pokyny k zabezpečení, ve kterých doporučuje:

Explicitně omezit přístup k adresáři obsahující registry %windir%\system32\config Smazat Shadow Copy vytvořené před provedením předchozího bodu

Podrobnosti k instrukcím naleznete na https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36934

Je také doporučeno monitorovat nestandardní akce uživatele vůči registrovým databázím nebo Shadow copy svazkům a dodržovat v organizaci princip nejnižšího nutné oprávnění při administraci koncových stanic.

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36934

https://windowsreport.com/hivenightmare-privilege-escalation-flaw-hits-windows-10-11/

https://www.blumira.com/sam-database-vulnerability/

https://doublepulsar.com/hivenightmare-aka-serioussam-anybody-can-read-the-registry-in-windows-10-7a871c465fa5

Celá zpráva 21.07.2021