Neuer NTLM-Relay-Angriff von PetitPotam ermöglicht Hackern die Übernahme von Windows-Domains

  • Eine neu entdeckte Sicherheitslücke im Windows-Betriebssystem kann ausgenutzt werden, um entfernte Windows-Server, einschließlich Domänencontroller, dazu zu zwingen, sich mit einem bösartigen Ziel zu authentifizieren, wodurch ein Angreifer einen NTLM-Relay-Angriff inszenieren und eine Windows-Domäne vollständig übernehmen kann.

    Die Schwachstelle mit dem Namen “PetitPotam” wurde von dem Sicherheitsforscher Gilles Lionel entdeckt, der letzte Woche technische Details und Proof-of-Concept (PoC)-Code zur Verfügung stellte. Er stellte fest, dass die Schwachstelle dadurch funktioniert, dass “Windows-Hosts gezwungen werden, sich über die MS-EFSRPC-Funktion EfsRpcOpenFileRaw gegenüber anderen Maschinen zu authentifizieren.”

    MS-EFSRPC ist Microsofts Encrypting File System Remote Protocol, das verwendet wird, um “Wartungs- und Verwaltungsoperationen für verschlüsselte Daten durchzuführen, die remote gespeichert sind und auf die über ein Netzwerk zugegriffen wird.”

    [Blocked Image: https://thehackernews.com/images/-OoudkWOwaI4/YMt1nG7ZqHI/AAAAAAAA4Qo/zhvoTujBMzIboAsA28Ekt3IPPv7HQZb4ACLcBGAsYHQ/s728-e100/free-ad-7-728.png]

    Konkret ermöglicht der Angriff einem Domänencontroller, sich über die MS-EFSRPC-Schnittstelle gegen ein entferntes NTLM unter der Kontrolle eines bösen Akteurs zu authentifizieren und seine Authentifizierungsinformationen weiterzugeben. Dies geschieht über eine Verbindung zu LSARPC, was zu einem Szenario führt, in dem der Zielserver eine Verbindung zu einem beliebigen Server herstellt und eine NTLM-Authentifizierung durchführt.

    “Ein Angreifer kann einen Domain Controller anvisieren, um dessen Anmeldeinformationen über das MS-EFSRPC-Protokoll zu senden und dann die DC-NTLM-Anmeldeinformationen an die Active Directory Certificate Services AD CS Web Enrollment-Seiten weiterzuleiten, um ein DC-Zertifikat zu registrieren”, so Hasain Alshakarti von TRUESEC. “Dadurch erhält der Angreifer effektiv ein Authentifizierungszertifikat, mit dem er als DC auf Domänendienste zugreifen und die gesamte Domäne kompromittieren kann.

    [Blocked Image: https://thehackernews.com/images/-mR3NI3InnXI/YP5g7Do1j4I/AAAAAAAADVM/GIaKxtzGIxUnoRvtCnyHCdt8aZyy12_-wCLcBGAsYHQ/s0/windows.jpg]

    Während die Deaktivierung der Unterstützung für MS-EFSRPC den Angriff nicht verhindert, hat Microsoft inzwischen Abschwächungen für das Problem herausgegeben und charakterisiert “PetitPotam” als “klassischen NTLM-Relay-Angriff”, der es Angreifern mit Zugriff auf ein Netzwerk ermöglicht, legitimen Authentifizierungsverkehr zwischen einem Client und einem Server abzufangen und diese validierten Authentifizierungsanfragen weiterzuleiten, um auf Netzwerkdienste zuzugreifen.

    [Blocked Image: https://thehackernews.com/images/-OSV4PB8Gs_s/YLy9M_8zkrI/AAAAAAAA4BE/n1p4_TGqv8w7u-Ha-YBjdamOZ8K2RHL_ACLcBGAsYHQ/s300-e100/privileged_300.jpg]

    “Um NTLM-Relay-Attacken in Netzwerken mit aktiviertem NTLM zu verhindern, müssen Domänenadministratoren sicherstellen, dass Dienste, die eine NTLM-Authentifizierung zulassen, Schutzmechanismen wie Extended Protection for Authentication (EPA) oder Signierungsfunktionen wie SMB-Signierung verwenden”, so Microsoft. “PetitPotam nutzt Server aus, bei denen die Active Directory Certificate Services (AD CS) nicht mit Schutzmaßnahmen für NTLM-Relay-Attacken konfiguriert sind.”

    [Blocked Image: https://thehackernews.com/images/-_jhipURAdSA/YP5WOK0vJHI/AAAAAAAADVE/2pt8Ia7aCJQKsn55kxobLWbULLEfhdX4QCLcBGAsYHQ/s0/windows-security.jpg]

    Um sich vor dieser Angriffsart zu schützen, empfiehlt der Windows-Hersteller seinen Kunden, die NTLM-Authentifizierung auf dem Domänencontroller zu deaktivieren. Für den Fall, dass NTLM aus Kompatibilitätsgründen nicht abgeschaltet werden kann, rät das Unternehmen den Anwendern, einen der beiden folgenden Schritte zu unternehmen.

    • Deaktivieren Sie NTLM auf allen AD CS-Servern in Ihrer Domäne mithilfe der Gruppenrichtlinie Netzwerksicherheit: NTLM einschränken: Eingehender NTLM-Verkehr.
    • Deaktivieren Sie NTLM für Internet Information Services (IIS) auf AD CS-Servern in der Domäne, auf denen die Dienste “Certificate Authority Web Enrollment” oder “Certificate Enrollment Web Service” ausgeführt werden

    PetitPotam ist nach den Sicherheitslücken PrintNightmare und SeriousSAM (auch bekannt als HiveNightmare) die dritte große Windows-Sicherheitslücke, die im letzten Monat bekannt wurde.

    Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

    Einige Teile dieses Artikels stammen aus:
    thehackernews.com