Microsoft rät zu schnellem Patchen von Active Directories
Durch zwei Schwachstellen in Microsofts Active Directory-Services könnten Angreifer ihre Rechte einfach ausweiten. Ein Update steht seit November bereit.
(Bild: vectorfusionart/Shutterstock.com)
Seit kurzem ist Proof-of-Concept-Code im Netz verfügbar, der Sicherheitslücken in Microsofts Active Directory zur Rechteausweitung missbraucht. Am November-Patchday haben die Redmonder ein Update bereitgestellt, das die Schwachstellen in dem Dienst schließt. Microsoft weist daher noch mal eindringlich darauf hin, die Aktualisierungen für das AD unbedingt einzuspielen.
Lücke einfach ausnutzbar
Die Redmonder beschreiben, wie einfach die Lücken in Kombination ausnutzbar sind, um an Domain-Administrator-Berechtigungen zu gelangen. In einem Active Directory gibt es Benutzer- und Computerkonten. Diese besitzen unter anderem einen sAMAccountName (SAM-Account) – Computer haben dabei traditionell ein $ am Ende des SAM-Accounts, also etwa CLIENT1$. Es gebe keine Beschränkungen und Prüfungen, das $-Zeichen in SAM-Account-Namen zu verwenden.
Die erste Schwachstelle wirkt zunächst harmlos (CVE-2021-42278, hoch). In der AD-Standardkonfiguration dürfe ein Benutzer bis zu zehn Rechnerkonten verändern. Als Besitzer eines solchen Computerkontos könne der Nutzer zudem den sAMAccountName modifizieren, erläutert Microsoft.
Die zweite Sicherheitslücke betrifft die Kerberos-Authentifizierung im AD (CVE-2021-42287, hoch). Dabei werde ein Ticket-Granting-Ticket (TGT) und im Anschluss ein Ticket-Granting-Service (TGS) vom Key Distribution Center (KDC) angefordert. Finde das KDC bei einer TGS-Anfrage ein Konto nicht, wiederhole es die Suche mit einem angehängten $-Zeichen.
Lose Enden verbinden
Die Kombination dieser beiden Lücken birgt nun Sprengkraft: Wenn der Domain-Controller den SAM-Account DC01$ hat, könnte ein Angreifer ein neues Computerkonto erstellen und dessen SAM-Account in DC01 umbenennen. Damit löst er eine Kerberos-Anfrage nach einem Ticket-Granting-Ticket aus und vergibt danach dem Computerkonto einen anderen Namen im SAM-Account.
Mit dem erhaltenen TGT für DC01 startet der Angreifer im Anschluss eine TGS-Anfrage. Das Key Distribution Center findet das Computerkonto nicht, hängt automatisch ein $-Zeichen an – jetzt hat die Suche Erfolg und der Angreifer erhält die Rechte von DC01$: Domain-Administrator.
Updates installieren und Ereignisse protokollieren
In einem Blog-Beitrag empfiehlt Microsoft, die seit November bereitstehenden Updates einzuspielen, da ein Proof-of-Concept-Tool zum Ausnutzen der Schwachstellen-Kombination veröffentlicht wurde. Zudem beschreibt das Unternehmen darin, wie mit der "Advanced Hunting"-Funktion von Microsoft 365-Defender solche Manipulationen aufgespürt werden können.
Da SAM-Account-Namenswechsel mit der Event-ID 4662 einhergingen, sollten Administratoren sicherstellen, dass dieses Event protokolliert wird. Dadurch würden sich potenzielle Angriffsversuche in den Windows-Protokollen entdecken lassen.
(dmk)
