Microsofts Workaround gegen Windows PetitPotam NTLM-Relay-Angriffe

Windows[English]Am gestrigen 24. Juli 2021 hatte ich über einen neuen Angriffsvektor namens PetitPotam berichtet, über den mittels eines NTLM-Relay-Angriffs Windows Domain Controller übernommen werden können (siehe mein Beitrag PetitPotam-Angriff erlaubt Windows Domain-Übernahme). Inzwischen hat Microsoft reagiert und einen Sicherheitshinweis zu diesem Sicherheitsproblem veröffentlicht. Gleichzeitig macht Microsoft Vorschläge, wie diese Sicherheitslücke durch Administratoren abgeschwächt werden kann. Ich fasse mal die wichtigsten Informationen zusammen.


Anzeige

Microsoft PetitPotam-Sicherheitshinweis

Blog-Leser Carsten hat gestern Nacht in diesem Kommentar bereits darauf hingewiesen (danke dafür), dass Microsoft etwas in Bezug auf PetitPotam veröffentlicht habe. Zur gleichen Zeit habe ich von Microsoft eine Mail mit dem nachfolgenden Inhalt als Sicherheitshinweis erhalten.

********************************************************************
Title: Microsoft Security Update Revisions
Issued: July 24, 2021
********************************************************************

Summary
=======

The following advisory and CVE have undergone major revision increments.

====================================================================

The following advisory has been published to the Security Update Guide:

* ADV210003

ADV210003 | Mitigating NTLM Relay Attacks on Active Directory Certificate
Services (AD CS)
– Version: 1.0
– Reason for Revision: Information published.
– Originally posted: July 24, 2021
– Updated: N/A
– Aggregate CVE Severity Rating: N/A

Unter ADV210003 geht Microsoft auf die Schwachstelle ein, die NTLM Relay-Angriffe auf Active Directory-Zertifikate ermöglicht und schreibt etwas von einer Mitigation, also einer Abschwächung des Angriffsvektors.

Die PetitPotam-Schwachstelle

Ich hatte den Angriffsvektor zwar bereits im Blog-Beitrag PetitPotam-Angriff erlaubt Windows Domain-Übernahme kurz skizziert. Der Microsoft Sicherheitshinweis liefert nun aber die Bestätigung, dass Microsoft da eine Sicherheitslücke sieht. Es heißt:

Microsoft is aware of PetitPotam which can potentially be used in an attack on Windows domain controllers or other Windows servers. PetitPotam is a classic NTLM Relay Attack, and such attacks have been previously documented by Microsoft along with numerous mitigation options to protect customers. For example, see Microsoft Security Advisory 974926.

Microsoft ist sich also des PetitPotam-Angriffsvektors durch NTLM Relay-Angriffe auf Active Directory-Zertifikate bewusst und verweist auf das aus dem Jahr 2009 stammende Advisory 974926. Das Ganze ist also nicht neu, jemand hat das alles lediglich unter dem PetitPotam geschickt verpackt. Betroffen von dieser Schwachstelle sind:

  • Windows Server 2008
  • Windows Server 2008 R2
  • Windows Server 2012
  • Windows Server 2012 R2
  • Windows Server 2016
  • Windows Server 2019
  • Windows Server 2004
  • Windows Server 20H2

Bezüglich der genauen Varianten verweise ich auf die Liste in ADV210003.

Microsofts Workaround gegen PetitPotam

Im Sicherheitshinweis ADV210003 gibt Microsoft folgenden Hinweis, um die Systeme gegen PetitPotam-Angriffe mittels  NTLM-Relay-Attacken in Netzwerken mit aktiviertem NTLM zu verhindern:

To prevent NTLM Relay Attacks on networks with NTLM enabled, domain administrators must ensure that services that permit NTLM authentication make use of protections such as Extended Protection for Authentication (EPA) or signing features such as SMB signing. PetitPotam takes advantage of servers where Active Directory Certificate Services (AD CS) is not configured with protections for NTLM Relay Attacks. The mitigations outlined in KB5005413 instruct customers on how to protect their AD CS servers from such attacks.

You are potentially vulnerable to this attack if NTLM authentication is enabled in your domain and you are using Active Directory Certificate Services (AD CS) with any of the following services:

  • Certificate Authority Web Enrollment
  • Certificate Enrollment Web Service

Domänenadministratoren müssen sicherstellen, dass Dienste, die eine NTLM-Authentifizierung zulassen, Schutzmaßnahmen wie Extended Protection for Authentication (EPA) oder Signierungsfunktionen wie SMB-Signierung verwenden. PetitPotam macht sich Server zunutze, bei denen der Active Directory Certificate Services (AD CS) nicht mit Schutzmaßnahmen für NTLM-Relay-Angriffe konfiguriert ist. Die in KB5005413 beschriebenen Abhilfemaßnahmen sollten Hilfestellung liefern, wie AD CS-Server vor solchen Angriffen zu schützen sind.

Ähnliche Artikel:
PetitPotam-Angriff erlaubt Windows Domain-Übernahme
HiveNightmare: Neue Details zur Windows-Schwachstelle CVE-2021-36934
Neue Infos zur Windows 10-Schwachstelle HiveNightmare
PrintNightmare: Point-and-Print erlaubt die Installation beliebiger Dateien


Anzeige


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Anzeige


Dieser Beitrag wurde unter Sicherheit, Windows, Windows 10, Windows Server abgelegt und mit Sicherheit, Windows Server verschlagwortet. Setze ein Lesezeichen auf den Permalink.

8 Antworten zu Microsofts Workaround gegen Windows PetitPotam NTLM-Relay-Angriffe

  1. 1ST1 sagt:

    Gibt wohl auch wieder Druckerprobleme… https://winfuture.de/news,124239.html

    • Günter Born sagt:

      Ich weiß, hatte es gelesen – danke. Aber es ist Sonntag, Familienmitglied kam gestern mit Blinddarmdurchbruch unter’s OP-Messer – und die Geschichte mit den Druckern ist nicht so weit verbreitet, so dass das noch bis Montag für eine Aufbereitung Zeit hat. Bin eh nur wegen des MS PetiPotam-Sicherheitshinweise an den Rechner.

  2. Martin Feuerstein sagt:

    Die Kollen von WindowsPro hatten vor zwei Wochen einen Beitrag zu den genannten Maßnahmen wie LDAP Channel Binding und LDAP Signing: https://www.windowspro.de/philip-lorenz/domain-controller-ldap-channel-binding-ldap-signing-absichern

  3. Robert Richter sagt:

    Im KB5005413 ist ja alles (fast) genau beschrieben: Mitigating NTLM Relay Attacks on Active Directory Certificate Services (AD CS)

    Dazu habe ich aber noch eine Frage:
    der Abschnitt mit der web.config Anpassung: After enabling EPA in the UI, the Web.config file created by CES role at „%windir%\systemdata\CES\_CES_Kerberos\web.config“
    …bezieht sich wohl nur auf die Certificate Enrollment Web Service – oder?
    wenn man nur die Certificate Authority Web Enrollment installiert hat und dort die Extended Protection einschaltet, dann muss man wohl keine web.config händisch nachbearbeiten – oder?
    Ach ja, noch was: wenn man beim Certificate Authority Web Enrollment auf Negotiate: Kerberos umstellt, dann meckert die UI, wenn bei Extended Protection ‚Enable Kernel-mode authentication‘ eingeschaltet bleibt. Muss man dann glaube ich ausschalten, aber auf den Screenshots von MS ist die anscheinend noch eingeschaltet (das passt wohl nicht) Muss man die dann wohl ausschalten?

  4. Boris sagt:

    Ohje da bin ich mal gespannt wie sich das die kommenden Monate entwickelt. Ich selbst bin Admin einer größeren öffentlichen Einrichtung. Nur dummerweise gibt es aktuell keinen Admin bei uns der sich mit dem Windows-kram auskennt (im Team gab es einen größeren Abgang der „Windows-Admins“). Ich selbst bin im Bereich Netzwerkadministration, Rechenzentrumsbetrieb und Administration der Linux-Landschaft zuständig.
    Mit Windows, AD und dem ganzen Kram hatte ich noch nie was zu tun und auch keiner von uns übrig gebliebenen hat Zeit und Ressourcen sich darum zu kümmern. Die Führungsebenen wollen davon natürlich nichts wissen obwohl wir das mehrfach gemeldet haben. Naja, es muss vermutlich erst richtig krachen bis jemand unsere Hilferufe nach Personal, der sich mit dem Windows Zeugs auskennt, hört.

    • jup sagt:

      das wäre dann die nächste Stufe:
      – Abwerbung der Windows Admins an Strohmannfirmen
      – Übernahme der Windowssysteme
      – Lösegeldforderungen

  5. Stefan A. sagt:

    Ich habe mich heute einmal mit der Umsetzung der Mitigations befasst, um jetzt festzustellen, dass Microsoft den Artikel umgeändert hat von der Reihenfolge!?!?

    Ich gehe davon aus, dass so mancher wohl stur die erste Empfehlung „NTLM in der Domäne abzuschalten“ umgesetzt hat und elendig Schiffbruch damit erlitten hat…

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.