Petitpotam-Relay-Angriffsschwachstelle in Windows-Netzwerken
Quelle: Skórzewiak – stock.adobe.com

Petitpotam-Relay-Angriffsschwachstelle in Windows-Netzwerken

Forscher zeigen neue Wege auf, um Windows-Domänen zu übernehmen. Eine neu entdeckte Sicherheitslücke im Windows-Betriebssystem kann ausgenutzt werden, um entfernte Windows-Server, einschliesslich Domänencontroller, dazu zu zwingen, sich mit einem bösartigen Ziel zu authentifizieren.
27. Juli 2021

     

Angreifer haben eine neue Möglichkeit, sich Domänenadministratorrechte zu sichern und damit die volle Kontrolle über reguläre Windows-Netzwerke zu erlangen. Dabei handelt es sich um einen so genannten NTLM-Relay-Angriff: Das Markenzeichen von Petitpot ist, dass es die Standardkonfiguration vieler Windows-Netzwerke betrifft, und es ist unwahrscheinlich, dass Microsoft, zumindest auf die Schnelle, etwas unternehmen wird, wie Bleepingcomputer" berichtet.


Bei einem NTLM-Relay-Angriff zwingt ein Angreifer ein bösartiges Relay dazu, einen Server oder Dienst zu authentifizieren. Der Angreifer kann dann die Identität des Servers oder Dienstes für seine eigenen Zwecke nutzen. Auf diese Weise funktionierte bereits die privilegierte Eskalation des Printnightmare-Problems.
Benjamin Delpy, Autor von Mimikatz, einem Standard-Tool zum Testen von Pass-the-Hash-Angriffen, demonstrierte in einem Video, wie man auf diese Weise eine Windows-Domäne kontrollieren kann. Auch das Deaktivieren des MS-EFSRPC-Dienstes hat, anders als bei Printernightmare, keine Auswirkungen. Solange die Webregistrierung der Zertifizierungsstelle oder die Webdienste für die Zertifikatsregistrierung in Ihrem Netzwerk ausgeführt werden, sind Sie anfällig.


In seiner ersten Ankündigung zu Petitpotam erklärte Microsoft, dass NTLM-Relay-Angriffe nicht neu sind und verwies auf zusätzliche Dokumentation, wie Administratoren ihre Netzwerke gegen diesen Angriff schützen können. Die Empfehlung "Mitigating NTLM relay attacks against Active Directory certificate services" bietet jedoch keine Lösung für das Problem. (swe)


Weitere Artikel zum Thema

Tenable warnt vor Zero-Day-Schwachstelle in Windows 10

23. Juli 2021 - In mehreren Versionen von Windows 10 wurde ein Zero-Day identifiziert, der es einem eigentlich nicht-privilegierten beziehungsweise nicht-autorisierten Benutzer ermöglicht, die Registry zu lesen und sein Berechtigungslevel zu erhöhen.

Microsoft Defender for Endpoint erkennt neu auch unverwaltete Geräte im Netzwerk

28. Juni 2021 - Microsoft hat eine neue Funktion lanciert, anhand derer Nutzer von Microsoft Defender for Endpoint einen Überblick über nicht verwaltete Geräte in ihren Netzwerken erhalten.

Office-365-Konten wurden 2020 besonders oft angegriffen

18. März 2021 - Laut einer Studie konnten Angreifer 2020 besonders viele Office-365-Konten übernehmen. Besonders gefürchtet sind Datenkompromittierungen durch einen Cyber-Angriff.


Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Wie hiess im Märchen die Schwester von Hänsel?
GOLD SPONSOREN
SPONSOREN & PARTNER