Microsoft NTLM-Schwachstelle: Hack der Domain-Controller

Publiziert am 17. Oktober 2019 von Günter Born

Noch ein Nachtrag zum Oktober 2019-Patchday für Windows. Im Microsoft NTLM wurden gerade zwei Schwachstellen durch Windows-Updates geschlossen, die es Angreifern ermöglichen, Domain-Controller im Netzwerk anzugreifen und zu übernehmen.

Anzeige

In nachfolgendem Tweet weist Alex Whitehat darauf hin, dass das Standard Authentifizierungs-Protokoll Microsoft NTLM, welches schon unter Windows NT 4.0 verwendet wurde, nun durch ein Ticket-basierendes Kerbereos Authentifizierungs-Protokoll ersetzt werde.

Dies ist erforderlich, da zwei Schwachstellen CVE 2019-1166 und CVE-2019-1338 in Microsoft NTLM gefunden wurden. Sicherheitsforscher von prempt beschreiben hier die beiden Schwachstellen.

  • CVE 2019-1166: Diese Schwachstelle ermöglicht es Angreifern, den MIC-Schutz (Message Integrity Code) bei der NTLM-Authentifizierung zu umgehen und dadurch jedes Feld im NTLM-Nachrichtenfluss zu ändern, einschließlich der Signaturanforderung. Dieser Bypass ermöglicht es Angreifern, Authentifizierungsversuche, die erfolgreich ausgehandelt wurden, an einen anderen Server weiterzuleiten, während der Server dazu gebracht wird, die Signaturanforderung vollständig zu ignorieren. Alle Server, die die Signatur nicht erzwingen, sind für diesen Angriff anfällig. 
  • CVE 2019-1338: Diese Schwachstelle ermöglicht es Angreifern, den MIC-Schutz zu umgehen, und zusammen mit anderen NTLM-Relay-Abschwächungen wie Enhanced Protection for Authentication (EPA) und Target SPN-Validierung für bestimmte alte NTLM-Clients, die LMv2-Challenge-Antworten senden. Dieser Angriff ermöglicht es Angreifern, NTLM-Relay zu verwenden, um sich erfolgreich an kritischen Servern wie OWA und ADFS zu authentifizieren und wertvolle Benutzerdaten zu stehlen.

Damit sind Angriffen auf Active Directory-Strukturen und Domain-Controller möglich, wie Blog-Leser hier und hier bereits anmerkten. Bleeping Computer hat hier einen Artikel zu den Problemen und den Updates veröffentlicht.

Microsoft stellt Updates bereit

Mit den Sicherheitsupdate hat Microsoft die Schwachstellen CVE 2019-1166 (Windows NTLM Tampering Vulnerability) und CVE-2019-1338 (Windows NTLM Security Feature Bypass Vulnerability) geschlossen. In den verlinkten Artikeln finden sich auch die Links zu den KB-Nummern der jeweiligen Windows-Updates. Administratoren sollten also diese Updates installieren, um die Schwachstellen zu beseitigen und die Authentifizierung umzustellen. Bleibt die Frage, welche Kollateralschäden dies verursacht und ob die Update-Installation wegen anderer Mängel scheitert bzw. Probleme bereitet.

Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Sicherheit, Windows abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.