Beschreibung:
Über die Microsoft NTLM Authentifizierung kann mittels NTLM-Relay Angriff der Domain Controller übernommen werden wenn das Zertifikat Services Webinterface aktiviert ist. Das NTLM Relay wird hierbei über die Managementfunktionen von Microsofts verschlüsselten Dateisystem initiiert (MS-EFSRPC). Danach kann über dieses ein DC Zertifikat ausgestellt werden welches es dem Angreifer ermöglicht sich als DC auszugeben und so die komplette Domain zu übernehmen.
Betroffene Systeme:
Alle Windows Server Versionen ab 2008
Behobene Versionen:
-
Empfohlene Maßnahmen:
Die NTLM Authentifizierung sollte auf allen AD Servern in der Domäne deaktiviert werden wo der Zertifikat Service aktiv ist, sollte dies nicht möglich sein kann alternativ NTLM für den IIS deaktiviert werden oder die Gruppenrichtlinie "Netzwerksicherheit: Beschränken von NTLM: Eingehenden NTLM-Datenverkehr" deaktiviert werden.
Einschätzung der Bedrohung:
Es ist bereits Testcode zur Schwachstelle veröffentlicht worden. Aktive Angriffe sind seitens Microsoft noch nicht bekannt, dies könnte sich jedoch innerhalb der nächsten Wochen ändern.
Weiterführende Links:
https://docs.microsoft.com/en-us/security-updates/SecurityAdvisories/2009/974926
https://support.microsoft.com/de-de/topic/kb5005413-mitigating-ntlm-relay-attacks-on-active-directory-certificate-services-ad-cs-3612b773-4043-4aa9-b23d-b87910cd3429 https://www.borncity.com/blog/2021/07/25/microsoft-liefert-workaround-fr-windows-petitpotam-ntlm-relay-angriffe/ http://woshub.com/disable-ntlm-authentication-windows/