zurück zum Artikel

Ein Angriff auf die Standardkonfiguration vieler Windows-Netze ermöglicht es, die Rechte eines Domänenadministrators zu erlangen.

Von den meisten Windows-Schwachstellen und monatlichen Cumulative Updates sind die Active Directory Certificate Services (ADCS, die "Microsoft-PKI") allenfalls indirekt betroffen. Das ist bei der kürzlich veröffentlichten PetitPotam-Attacke [1] [1] anders. Hier kann ein Angreifer unter aktiver Mitwirkung einer ADCS Enterprise CA unter Umständen ein Zertifikat erlangen, das ihm, umgetauscht in ein Kerberos-Ticket, die vollständige Kontrolle über das angegriffene Active Directory ermöglicht.

Auf der einen Seite ist PetitPotam ein Angriff auf eine altbekannte Schwachstelle des NTLM-Authentifikationsverfahrens, einer aus Gründen der Rückwärtskompatibilität seit langer Zeit mitgeschleppten Legacy-Funktion von Windows.

Bei NTLM sind sogenannte Relay-Angriffe (PDF) [2] [2] möglich: Wenn ein AD-Benutzer oder AD-Computer sich per NTLM an einem System des Angreifers anmeldet, kann der sich hinterrücks, ebenfalls per NTLM, mit dem Konto des Opfers an anderen Systemen anmelden. Das kann beispielsweise über die Integrierte Windows-Authentifikation (IWA) eines Browsers erfolgen, bei der standardmäßig ausgehandelt wird, ob Kerberos oder NTLM verwendet werden soll. Das Prinzip ist seit circa 2001 bekannt und spätestens seit 2009 durch Microsoft und andere beschrieben [3] [3]. Aus diesem Grund sieht Microsoft hier offenbar auch keinen akuten Handlungsbedarf.

URL dieses Artikels:
https://www.heise.de/-6170976

Links in diesem Artikel:
[1] https://github.com/topotam/PetitPotam
[2] https://owasp.org/www-pdf-archive/NTLM_Relay_Attacks.pdf
[3] https://www.heise.de/news/Windows-Netze-verwundbar-fuer-Relay-Angriff-PetitPotam-6147467.html

Copyright © 2021 Heise Medien