Microsoft gibt Hinweise zum Schutz vor KrbRelayUp-Angriffen in Windows-Domains

Windows[English]KrbRelayUp-Angriffe ermöglichen eine lokale Privilegienerweiterung in Windows-Domänenumgebungen, in denen die LDAP-Signierung nicht erzwungen wird. Die Standardeinstellungen für Active Directory sind immer noch unsicher. Microsoft hat in einem Beitrag aber nun erläutert, wie Administratoren die Systeme gegen KrbRelayUp-Angriffen in Windows-Domains schützen können.


Anzeige

Ich hatte im Blog-Beitrag Sicherheits- und Datenschutzmeldungen (28. April 2022) über KrbRelayUp-Angriffe in Windows Domains kurz berichtet. Ein KrbRelayUp-Angriff ermöglicht eine lokale Privilegienerweiterung in Windows-Domänenumgebungen, in denen die LDAP-Signierung nicht erzwungen wird. Auf Github hatte jemand einen Wrapper im Quellcode publiziert, der diese Angriffe vereinfachen soll. Administratoren sollten also handeln und die LDAP-Signierung erzwingen.

Microsoft veröffentlicht Sicherheitshinweis

Microsoft hat nun einen Blog-Beitrag Detecting and preventing privilege escalation attacks leveraging Kerberos relaying (KrbRelayUp) zum Thema veröffentlicht und zeigt, wie sich Systeme gegen KrbRelayUp-Angriffe auf Domain Controllern schützen können. Ich bin über nachfolgenden Tweet auf das Thema gestoßen.

Hintergrund ist wohl, dass am 24. April 2022 auf GitHub ein Hacking-Tool, KrbRelayUp, zur Privilegienerweiterung von dem Sicherheitsforscher Mor Davidovich veröffentlicht wurde. KrbRelayUp ist ein Wrapper, der die Nutzung einiger Funktionen der Tools Rubeus, KrbRelay, SCMUACBypass, PowerMad/SharpMad, Whisker und ADCSPwn in Angriffen rationalisieren kann.

Microsoft empfiehlt seinen Kunden, Domain Controller zu aktualisieren, so dass die LDAP-Server-Signierungsanforderungen auf "Signierung erforderlich" stehen. Das wurde in diesem Advisory beschrieben. In diesem Blog wird beschrieben, ,wie Extended Protection for Authentication (EPA) zu aktivieren ist. Der Microsoft-Blog-Beitrag beschreibt den Angriffsweg und gibt Hinweise, wie man diese Angriffe abschwächen kann.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit, Windows Server abgelegt und mit Sicherheit, Windows Server verschlagwortet. Setze ein Lesezeichen auf den Permalink.

2 Antworten zu Microsoft gibt Hinweise zum Schutz vor KrbRelayUp-Angriffen in Windows-Domains

  1. Thomas sagt:

    Hallo,
    wo befindet sich denn bei Server 2012/Server2012R2 das Protokoll für den Verzeichnisdienst? Oder heißt es hier anders? Ich wollte mir das nach dieser Anleitung auf dem DC anschauen, aber da ist es bei uns nicht vorhanden.
    https://www.gruppenrichtlinien.de/artikel/ldap-signing-auf-domaenencontrollern-erzwingen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.