[English]
Mir ist gerade eine Information zu einer Schwachstelle im Microsoft Telnet Server untergekommen. Über die Schwachstelle soll ein -Click-NTLM Authentication Bypass möglich sein. Betroffen sind glücklicherweise nur alte Systeme bis Windows Server 2008 R2. Dort sollte Telnet deaktiviert werden.
Anzeige
Ein Blog-Leser hat mich in einer privaten Nachricht auf X auf den nachfolgenden Tweet hingewiesen. Liest sich etwas alarmierend.
Es gebe eine 0-Click NTLM Authentication Bypass-Schwachstelle im Microsoft Telnet Server. Inzwischen sei ein Proof of Concept (PoC) veröffentlicht worden, ein Patch existiere nicht. Der verlinkte Artikel titelt in obigem Screenshot, dass Microsoft Telnet durch eine 0-Click-Schwachstelle angreifbar sei und sofortiges Eingreifen erfordere.
Klang recht alarmierend – obiger Tweet verlinkt auf den Artikel 0-Click NTLM Authentication Bypass Hits Microsoft Telnet Server, PoC Releases, No Patch von Security Online. Der Artikelautor bezieht sich auf einen GitHub-Beitrag von hackerhouse-opensource, der inzwischen aber gelöscht wurde. Ich habe den Beitrag aber noch im Internetarchive gefunden.
Anzeige
Unter der Überschrift Microsoft Telnet Server MS-TNAP Authentication Bypass [RCE 0day] heißt es, dass es eine kritische 0-Klick-Remote-Authentication Bypass -Schwachstelle im Microsoft Telnet Server gebe. Diese ermöglicht es Angreifern, sich ohne gültige Anmeldeinformationen als beliebiger Benutzer (auch als Administrator) Zugang zu Systemen zu verschaffen. Die Sicherheitslücke nutze eine Fehlkonfiguration in den NTLM-Authentifizierungsprozessen der Telnet-Erweiterung MS-TNAP aus, die nicht authentifizierten Angreifern remote ermöglicht, die Authentifizierung zu umgehen.
Im Repository wurde ein Proof of Concept (PoC) Exploit für diese, in der Implementierung der NTLM-Authentifizierung über MS-TNAP in Microsoft Telnet Server, als kritisch eingestufte Authentifizierungsumgehungsschwachstelle, vorgestellt.
Allerdings kann man sehr schnell Entwarnung geben. Denn die Sicherheitslücke ermöglicht zwar die vollständige Umgehung der Authentifizierung durch Manipulation des gegenseitigen Authentifizierungsprozesses. Aber das Ganze betrifft nur Uralt-Systeme von Windows 2000 bis Windows Server 2008 R2, die längst aus dem regulären Support gefallen sind und als Windows Server 2008 R2 und noch ESU-Support und Updates erhalten. Wer noch einen solchen Server betreibt, der per Netzwerk von "außen" erreichbar ist, sollte den Telnet-Server deaktivieren.
Anzeige
Was ist daran alarmierend? ja, ich weiß, dass manche Benutzer/Admins den Schuss noch nicht gehört haben? Was schrieb in dem Zusammenhang Bart Simpson im Vorfeld der Simpsons-Zeichentrickfilme nochmal an die Schultafel? Ach, ja, ich weiß es!
Du sollst Telnet nicht mehr verwenden. Du sollst Telnet nicht mehr verwenden.
Du sollst Telnet nicht mehr verwenden. Du sollst Telnet nicht mehr verwenden.
Du sollst Telnet nicht mehr verwenden. Du sollst Telnet nicht mehr verwenden.
Du sollst Telnet nicht mehr verwenden. Du sollst Telnet nicht mehr verwenden.
Du sollst Telnet nicht mehr verwenden. Du sollst Telnet nicht mehr verwenden.
Du sollst Telnet nicht mehr verwenden. Du sollst Telnet nicht mehr verwenden.
Du sollst Telnet nicht mehr verwenden. Du sollst Telnet nicht mehr verwenden.
Du sollst Telnet nicht mehr verwenden. Du sollst Telnet nicht mehr verwenden.
Du sollst Telnet nicht mehr verwenden. Du sollst Telnet nicht mehr verwenden.
Da dürften die wenigsten betroffen sein, denn der Telnet Server ist per Default deaktiviert (Server 2000/2003) bzw. gar nicht installiert (Server 2008/2008R2).
"Wer noch einen solchen Server betreibt, der per Netzwerk von "außen" erreichbar ist, sollte …"
… den Psychologen wechseln.
Alt, von Außen erreichbar, unverschlüsselt. Was will man mehr?
Default Port, Default User und vor allem Default Password wären noch schön *rofl*