No Comments

Sicherheitslücke ermöglicht es Windows-Servern, unbefugten Zugriff zu authentifizieren

 

Eine Schwachstelle, die es einem Cyberkriminellen ermöglicht, die Kontrolle über entfernte Windows-Server (einschließlich des Domänencontrollers) zu übernehmen, was dazu führt, dass sie ein bösartiges Ziel authentifizieren (das von einem möglichen Angreifer manipuliert wurde).

Die Sicherheitslücke wurde vom französischen Informationssicherheitsforscher Gilles Lionel entdeckt, der sie PetitPotam nannte. Es wurde auf Windows 10, Windows Server 2016 und 2019 Systemen getestet und erfolgreich getestet.

Lionel hat auf GitHub einen Proof of Concept (PoC) veröffentlicht, in dem er erklärt, dass ein Angreifer ein Encrypting File System Remote (EFSRPC)-Protokoll missbrauchen kann, um die Wartung und Verwaltung von verschlüsselten Daten, die aus der Ferne gespeichert sind, durchzuführen.

“[O PetitPotam] zwingt Windows-Hosts, sich über die MS-EFSRPC EfsRpcOpenFileRaw-Funktion bei anderen Maschinen zu authentifizieren. Dies ist auch über andere Protokolle und Funktionen möglich. Die Tools verwenden die LSARPC-Named Pipe mit der Schnittstelle c681d488d850-11d0-8c52-00c04fd90f7e, weil sie verbreiteter. Aber es ist möglich, mit der Named Pipe EFSRPC und dem Interface df1941c5-fe89-4e79-bf10-463657acf44d zu triggern. Sie benötigen keine Anmeldeinformationen auf dem Domänencontroller”, erklärt er.

Microsoft veröffentlicht Sicherheitsupdate

The Record, die diesen Fall der Öffentlichkeit enthüllte, kontaktierte Microsoft, das nicht auf die Kontaktanfrage der Presse reagierte. Doch einen Tag nach Bekanntwerden des Fehlers. Das Unternehmen hat ein Sicherheitsupdate veröffentlicht, das die Schwachstelle behebt.

Auf der Guide-Seite zu diesem Update erklärt Microsoft, dass die Sicherheitsanfälligkeit von Lionel zu einem klassischen NTLM-Relay-Angriff führen könnte.

„Um NTLM-Relay-Angriffe auf NTLM-fähige Netzwerke zu verhindern, sollten Domänenadministratoren sicherstellen, dass Dienste, die die NTLM-Authentifizierung ermöglichen, Schutzmaßnahmen wie Extended Protection for Authentication (EPA) oder Signaturfunktionen wie SMB-Signaturen verwenden.“

„PetitPotam nutzt Server, auf denen Active Directory Certificate Services (AD CS) nicht mit Schutz gegen NTLM-Relay-Angriffe konfiguriert sind. Die in KB5005413 beschriebenen Abwehrmaßnahmen weisen Kunden darauf hin, wie sie ihre AD CS-Server vor solchen Angriffen schützen können“, sagt er. zu Microsoft.


Quelle: the record; Gilles Lionel; Microsoft; TheHack.

Das könnte dir auch gefallen

More Similar Posts

Leave a Reply

Your email address will not be published. Required fields are marked *

Bitte füllen Sie dieses Feld aus.
Bitte füllen Sie dieses Feld aus.
Please enter a valid email address.

Menu