Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

IT-Security: PetitPotam und andere Wege, die Kontrolle über das AD zu übernehmen

Ein Angriff auf die Standardkonfiguration vieler Windows-Netze ermöglicht es, die Rechte eines Domänenadministrators zu erlangen.

Artikel verschenken
In Pocket speichern vorlesen Druckansicht 6 Kommentare lesen
Lesezeit: 25 Min.
iX Magazin
Von
  • Hans-Joachim Knobloch
Inhaltsverzeichnis

Von den meisten Windows-Schwachstellen und monatlichen Cumulative Updates sind die Active Directory Certificate Services (ADCS, die "Microsoft-PKI") allenfalls indirekt betroffen. Das ist bei der kürzlich veröffentlichten PetitPotam-Attacke anders. Hier kann ein Angreifer unter aktiver Mitwirkung einer ADCS Enterprise CA unter Umständen ein Zertifikat erlangen, das ihm, umgetauscht in ein Kerberos-Ticket, die vollständige Kontrolle über das angegriffene Active Directory ermöglicht.

Auf der einen Seite ist PetitPotam ein Angriff auf eine altbekannte Schwachstelle des NTLM-Authentifikationsverfahrens, einer aus Gründen der Rückwärtskompatibilität seit langer Zeit mitgeschleppten Legacy-Funktion von Windows.

Bei NTLM sind sogenannte Relay-Angriffe (PDF) möglich: Wenn ein AD-Benutzer oder AD-Computer sich per NTLM an einem System des Angreifers anmeldet, kann der sich hinterrücks, ebenfalls per NTLM, mit dem Konto des Opfers an anderen Systemen anmelden. Das kann beispielsweise über die Integrierte Windows-Authentifikation (IWA) eines Browsers erfolgen, bei der standardmäßig ausgehandelt wird, ob Kerberos oder NTLM verwendet werden soll. Das Prinzip ist seit circa 2001 bekannt und spätestens seit 2009 durch Microsoft und andere beschrieben. Aus diesem Grund sieht Microsoft hier offenbar auch keinen akuten Handlungsbedarf.

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten