Demo-Exploit für kritische Kerberos-Lücke in Windows Server
Höchste Zeit zu patchen: Mit dem Python Kerberos Exploitation Kit können sich Angreifer sonst zum Enterprise-Admin machen.
Letzten Monat veröffentlichte Microsoft außer der Reihe ein Notfall-Update für Windows Server. Der Patch zu MS14-068 schloss eine Sicherheitslücke im Authentifizierungs-System Kerberos, die in sämtlichen Windows-Versionen klafft. Vornehmlich betroffen sind Windows Server, die als Kerberos Key Distribution Center (KDC) fungieren. Jetzt demonstriert ein Python-Skript, wie sich die Lücke ausnutzen lässt.
Mit dem Tool PyKEK – kurz für Python Kerberos Exploitation Kit – kann sich jeder der Kommandozeile möchtige Angreifer, der übers Netz mit einem ungepatchten KDC sprechen kann, ein Kerberos-Ticket für einen beliebigen Domain-Account erstellen – auch solche für Domain- oder Enterprise-Admins. Damit kann er sich dann gegenüber anderen Diensten als dieser Benutzer ausweisen. So kann er es etwa mit dem Tool Mimikatz benutzen, um Zugriff auf einen anderen Windows-Rechner zu bekommen.
Die Autoren des Tools wollen PyKEK im Lauf der Zeit mit weiteren Funktionen zum Testen von Kerberos-Diensten ausstatten. Admins sollten den Microsoft-Patch jetzt möglichst bald auf ihre Server anwenden. (ju)