Windows-Netze verwundbar für Relay-Angriff PetitPotam
Forscher demonstrieren einen neuen Weg, sich zum König einer Windows-Domäne aufzuschwingen. Microsoft zuckt mit den Achseln und verweist auf Härtungsmaßnahmen.
Es gibt einen neuen Weg, wie sich Angreifer in einem ganz normalen Windows-Netz die Rechte eines Domänen-Administrators und damit volle Kontrolle sichern können. Es handelt sich dabei um einen sogenannten NTLM-Relay-Angriff, wie es sie bereits früher gab. Das Besondere an PetitPotam ist, dass es die Standardkonfiguration vieler Windows-Netze betrifft und Microsoft wohl nichts weiter dagegen unternehmen wird.
Bei einem NTLM-Relay-Angriff erzwingt ein Angreifer die Authentifizierung eines Servers oder Dienstes gegenüber einem bösartigen Relay. Anschließend kann der Angreifer dessen Identität im Netz für seine Zwecke missbrauchen. So funktionierte bereits die Privilege Escalation des PrintNightmare-Problems. Und gerade nachdem Admins in Fleißarbeit den Dienst MS-RPRN in ihren Netzen weitgehend abgeschaltet haben, zeigt ein Forscher, dass und wie man einen Dienst für Encrypted Filesystems (MS-EFSRPC) dafür missbrauchen kann.
Benjamin Delpy, der Autor des Standard-Tools zum Test auf Pass-the-Hash-Angriffe Mimikatz, demonstriert auch prompt in einem Video, wie er auf diesem Weg die Kontrolle über eine Windows-Domain erlangt. Und anders als beim PrinterNightmare hilft auch das Abschalten des Dienstes MS-EFSRPC nicht, warnt der Entdecker in seiner Demo-Umsetzung von PetitPotam (ein kleines Nilpferd?). Sofern man ein Certificate Authority Web Enrollment oder einen Certificate Enrollment Web Service im Netz betreibt, ist man anfällig.
Härtung und Workarounds
Microsoft erklärt in einem ersten Statement zu PetitPotam, dass NTLM-Relay-Angriffe nichts Neues seien und verweist auf weiterführende Dokumente, wie Admins ihre Netze dagegen härten könnten. Einen Fix für das Problem stellt das Advisory zu Mitigating NTLM Relay Attacks on Active Directory Certificate Services aber nicht in Aussicht. Delpy gibt ebenfalls Ratschläge, wie man das Problem zumindest eingrenzen kann. Dazu gehören der Verzicht auf das unnötige Web Enrollment und die Nutzung von Kerberos. Außerdem könne man die Authentifizierung zusätzlich durch SSL absichern.
All dies bedeutet jedoch viel Arbeit für Administratoren von Windows-Netzen, die bereits in den letzten Wochen unter der zusätzlichen Belastung ständig neuer Lücken ächzten. Letztlich bedeutet dieser Verweis auf zusätzlich erforderliche Maßnahmen, dass die große Mehrzahl der Windows-Netze für solche Privilegien-Ausweitung anfällig bleiben wird. Es ist an der Zeit, dass Microsoft sich von der veralteten NTLM-Authentifizierung zugunsten einer Infrastruktur verabschiedet, die man standardmäßig sicher betreiben kann.
Im Expertenforum von heise Security Pro diskutieren Admins und Security-Verantwortliche, wie sie mit dieser Situation umgehen:
(ju)
