Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

Active Directory über dynamische DNS-Updates angreifbar

In Active-Directory-Umgebungen ist es Angreifern unter Umständen möglich, ohne jede Authentifizierung DNS-Einträge zu überschreiben, auch den vom DHCP-Server.

In Pocket speichern vorlesen Druckansicht 68 Kommentare lesen
Cyberkrimineller bei der Arbeit

(Bild: Tero Vesalainen/Shutterstock.com)

Lesezeit: 3 Min.
iX Magazin
Von
  • Benjamin Pfister

SIcherheitsforscher des CDN-Providers Akamai haben eine neue Art von Angriffen auf Microsofts Active Directory beschrieben. Sie erfolgen über die dynamische DNS-Registrierung durch den Windows-DHCP-Server. Angreifer können DNS-Einträge spoofen, was in die Kompromittierung einzelner Accounts oder der gesamten Active-Directory-Domäne münden kann. Wird der Windows DHCP-Server in den Default-Einstellungen betrieben, braucht es dazu keinerlei Credentials.

Laut Akamai hat Microsoft derzeit nicht die Absicht, Fixes zu liefern. In einem Blogbeitrag stellt der CDN-Provider Details der Attacken vor und stellt ein Tool bereits, um gefährdete Konfigurationen zu erkennen.

Gefährliche Updates der zweiten Art

Das Active Directory ist funktional eng mit dem DNS gekoppelt. Dabei kommen in vielen Fällen Domain Controller gleichzeitig auch als DNS- und DHCP-Server zum Einsatz. Damit Clients Ihre Hostnamen als Records in Umgebungen mit dynamischer IP-Adressvergabe im DNS hinterlegen können, bringt der Windows DHCP eine dynamische DNS-Aktualisierung mit. Dabei übergibt der Client seinen FQDN in der Option 81 im DHCP-Request an den DHCP-Server, der wiederum ein dynamisches DNS-Update vornimmt (siehe Abbildung). Somit frischen sich die A-Records der jeweiligen Clients im DNS immer mit der jeweils zugewiesenen IP-Adresse auf. Dieses Feature nennt sich DHCP DNS Dynamic Updates. Dabei kommt keine Authentifizierung von Seiten des DHCP-Clients zum Einsatz. Somit könnten diese Einträge leicht gespoofed werden.

Prozess der dynamischen DNS-Registrierung über den DHCP-Server.

(Bild: Akamai)

Möglich ist dies nur für Records, die nicht durch Secure Updates aktualisiert werden. Das sind Updates, die vom Client ausgehen und nicht per DHCP und DNS-Update durch den DHCP-Server erfolgen. Diese Secure Updates sind nämlich über Kerberos authentifiziert und autorisiert und somit dem Maschinenaccount des Clients zugewiesen. Damit angelegte sogenannte Client Records lassen sich nicht ohne weiteres überschreiben. Managed Records jedoch, die vom DHCP-Server im DNS-Server angelegt wurden, lassen sich jedoch ohne Authentifizierung vom Client updaten. Gleiches gilt auch für den DNS-Eintrag des DHCP-Servers selbst. Laut Akamai kann also ein gespooftes DHCP-Update einen DNS-Eintrag für den DHCP-Server überschreiben. Falls dieser gleichzeitig auch Domänencontroller ist, könnte dies fatale Auswirkungen haben.

Spoofing des FQDNs im DHCP-Request vom Client und folgendes Update des A-Records vom DHCP-Server im DNS.

(Bild: Akamai)

Gegenmaßnahmen mit Schwächen

Als Gegenmaßnahmen nennt Akamai Name Protection auf Basis des DHCID-Record-Typen ((DHCP Client Identifier), was jedoch gemäß den Darstellungen ebenfalls einige Schwachstellen aufweist, wie die Anfälligkeit für Brute-Force-Attacken. Zudem müsste sie in allen Scopes aktiv sein. Eine weitere Gegenmaßnahme wäre die Nutzung von dedizierten DNS Credentials für die Schnittstelle zwischen DHCP und DNS. Vom DHCP angelegte Records wären jedoch trotzdem vulnerabel.

(ulw)

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten