Windows speichert bestimmte Informationen der Registrierung in Strukturdateien, sogenannten Hives im Windows-Ordner C:\Windows\system32\config.Insgesamt werden fünf Dateien SYSTEM, SECURITY, SAM, DEFAULT und SOFTWARE in diesem Ordner abgelegt. Der Security Account Manager (SAM) ist eine Datenbank, in der Windows die Benutzerkonten und Sicherheitsdeskriptoren für Benutzer auf dem lokalen Computer speichert. Zugriffe auf die betreffenden Strukturdateien sollten aus Sicherheitsgründen nur das System und Administratoren haben. Das US-CERT hat eine Sicherheitswarnung herausgegeben, die die Details zusammenfasst. Ab Windows 10 1809 wird der BUILTIN\Users-Gruppe demnach die Lese-Ausführungsberechtigung (RX) folgenden Dateien zugewiesen:
c:\Windows\System32\config\sam
c:\Windows\System32\config\system
c:\Windows\System32\config\security
Von Microsoft gibt es bisher keine Hinweise zur Beseitigung der Schwachstelle. Man könnte zwar die Schattenkopien löschen beziehungsweise abschalten, verliert dadurch aber die Möglichkeit, beschädigte Hives wiederherzustellen. Vom US-CERT gibt es in der entsprechenden Sicherheitswarnung den Vorschlag, die Zugriffsberechtigungen für die Gruppe Users durch die nachfolgenden Befehle, ausgeführt in einer administrativen Eingabeaufforderung, zu entziehen.
icacls %windir%\system32\config\sam /remove "Users"
icacls %windir%\system32\config\security /remove "Users"
icacls %windir%\system32\config\system /remove "Users"
Die jetzt entdeckte Schwachstelle wirft natürlich gravierende Fragen auf. Wieso wurde ein solch kapitales Problem, welches seit 2018, also fast drei Jahren, besteht, bei internen Tests durch Microsoft nicht aufgedeckt. Denn vor der Windows 10 Version 1809 wurden die ACLs für die Hives korrekt gesetzt. Es deutet sich an, dass die Sicherheit von Windows 10 durch den Umstieg auf Windows-as-a-Service (WaaS) und den Zwang zur halbjährlichen Freigabe von Funktionsupdates nachhaltig leidet.
