Petitpotam-Relay-Angriffsschwachstelle in Windows-Netzwerken

(Quelle: Skórzewiak – stock.adobe.com)

Petitpotam-Relay-Angriffsschwachstelle in Windows-Netzwerken

(Quelle: Skórzewiak – stock.adobe.com)
27. Juli 2021 - Forscher zeigen neue Wege auf, um Windows-Domänen zu übernehmen. Eine neu entdeckte Sicherheitslücke im Windows-Betriebssystem kann ausgenutzt werden, um entfernte Windows-Server, einschliesslich Domänencontroller, dazu zu zwingen, sich mit einem bösartigen Ziel zu authentifizieren.
Angreifer haben eine neue Möglichkeit, sich Domänenadministratorrechte zu sichern und damit die volle Kontrolle über reguläre Windows-Netzwerke zu erlangen. Dabei handelt es sich um einen so genannten NTLM-Relay-Angriff: Das Markenzeichen von Petitpot ist, dass es die Standardkonfiguration vieler Windows-Netzwerke betrifft, und es ist unwahrscheinlich, dass Microsoft, zumindest auf die Schnelle, etwas unternehmen wird, wie Bleepingcomputer" berichtet.

Bei einem NTLM-Relay-Angriff zwingt ein Angreifer ein bösartiges Relay dazu, einen Server oder Dienst zu authentifizieren. Der Angreifer kann dann die Identität des Servers oder Dienstes für seine eigenen Zwecke nutzen. Auf diese Weise funktionierte bereits die privilegierte Eskalation des Printnightmare-Problems.
Benjamin Delpy, Autor von Mimikatz, einem Standard-Tool zum Testen von Pass-the-Hash-Angriffen, demonstrierte in einem Video, wie man auf diese Weise eine Windows-Domäne kontrollieren kann. Auch das Deaktivieren des MS-EFSRPC-Dienstes hat, anders als bei Printernightmare, keine Auswirkungen. Solange die Webregistrierung der Zertifizierungsstelle oder die Webdienste für die Zertifikatsregistrierung in Ihrem Netzwerk ausgeführt werden, sind Sie anfällig.

In seiner ersten Ankündigung zu Petitpotam erklärte Microsoft, dass NTLM-Relay-Angriffe nicht neu sind und verwies auf zusätzliche Dokumentation, wie Administratoren ihre Netzwerke gegen diesen Angriff schützen können. Die Empfehlung "Mitigating NTLM relay attacks against Active Directory certificate services" bietet jedoch keine Lösung für das Problem. (swe)

Neuen Kommentar erfassen

Anti-Spam-Frage Wieviele Fliegen erledigte das tapfere Schneiderlein auf einen Streich?
Antwort
Name
E-Mail
SPONSOREN & PARTNER