Demo-Exploit für kritische Kerberos-Lücke in Windows Server
Höchste Zeit zu patchen: Mit dem Python Kerberos Exploitation Kit können sich Angreifer sonst zum Enterprise-Admin machen.
![Demo-Tool nutzt kritische Kerberos-Lücke in Windows Server](https://heise.cloudimg.io/width/600/q85.png-lossy-85.webp-lossy-85.foil1/_www-heise-de_/imgs/18/1/3/9/4/3/3/3/kerberos-vuln-win-668839f9b106d9a8-95c6c5b673209fa8.jpeg)
Letzten Monat veröffentlichte Microsoft außer der Reihe ein Notfall-Update für Windows Server. Der Patch zu MS14-068 schloss eine Sicherheitslücke im Authentifizierungs-System Kerberos, die in sämtlichen Windows-Versionen klafft. Vornehmlich betroffen sind Windows Server, die als Kerberos Key Distribution Center (KDC) fungieren. Jetzt demonstriert ein Python-Skript, wie sich die Lücke ausnutzen lässt.
Mit dem Tool PyKEK – kurz für Python Kerberos Exploitation Kit – kann sich jeder der Kommandozeile möchtige Angreifer, der übers Netz mit einem ungepatchten KDC sprechen kann, ein Kerberos-Ticket für einen beliebigen Domain-Account erstellen – auch solche für Domain- oder Enterprise-Admins. Damit kann er sich dann gegenüber anderen Diensten als dieser Benutzer ausweisen. So kann er es etwa mit dem Tool Mimikatz benutzen, um Zugriff auf einen anderen Windows-Rechner zu bekommen.
Die Autoren des Tools wollen PyKEK im Lauf der Zeit mit weiteren Funktionen zum Testen von Kerberos-Diensten ausstatten. Admins sollten den Microsoft-Patch jetzt möglichst bald auf ihre Server anwenden. (ju)