Details zur Windows NTLM-Schwachstelle CVE-2021-1678 veröffentlicht

Publiziert am 26. Januar 2021 von Günter Born

[English]In Windows Server 2008 bis Windows Server 2012 R2 gibt es die Schwachstelle CVE-2021-1 (NTLM Security Feature Bypass Vulnerability), die von Microsoft aber inzwischen gepatcht wurde. Jetzt wurden Details zur Schwachstelle veröffentlicht.

Anzeige

NTLM Security Feature Bypass Vulnerability CVE-2021-1678

Die Schwachstelle CVE-2021-1678 (NTLM Security Feature Bypass Vulnerability) wurde von Microsoft am 12. Januar 2021 bekannt gegeben. Es gibt eine Schwachstelle im Netzwerk-Stack, die ein Angreifer missbrauchen kann, um die NTLM-Sicherheitsfunktionen zu umgehen. Microsoft hat aber nicht allzu viele Details verraten, nur dass der Benutzer bei einem Angriff mithelfen muss, damit dieser ausgeführt werden kann. Der CVSS-Wert wurde daher nur mit 3.0 4.3 / 3.8 angegeben.

Für Windows Server 2008 bis Windows Server 2012 R2 gibt es Sicherheitsupdates vom 12. Januar 2021, die diese Schwachstelle schließen sollen. Bei Windows Server 2008/R2 ist zu beachten, dass diese Maschinen das Sicherheitsupdate nur erhalten, wenn eine ESU-Supportverlängerung besteht.

Details der Schwachstelle offen gelegt

The Hacker News greift den obigen Sacherhalt auf und berichtet hier, dass Sicherheitsforscher von Crowdstrike mehr Details zur Schwachstelle offen gelegt haben. Dazu wurde der Patch von Microsoft einer Reverse-Analyse unterzogen. Auf der Suche nach verwundbaren RPC-Schnittstellen, die keine Form von Paketsicherheit erfordern, haben die Sicherheitsforscher eine interessante verwundbare Schnittstelle gefunden: IRemoteWinspool, eine RPC-Schnittstelle für die Remote-Verwaltung von Druckerspoolern.

Die Sicherheitsforscher suchten nach einem Weg, um per NTLM-Relay eine NTLM-Sitzung von einem ausreichend privilegierten Benutzerkonto aus zu verwenden, um eine Folge von RPC-Operationen auszuführen, die den gewünschten Effekt erzielen. Das ist den Sicherheitsforschern wohl gelungen. Sie schreiben: Wird die Schwachstelle nicht gepatcht, kann ein Angreifer eine Remotecodeausführungs-Attacke über ein NTLM-Relay versuchen. Die Details finden sich im Crowdstrik Sicherheitshinweis Security Advisory: MSRPC Printer Spooler Relay (CVE-2021-1678). Wer also einen der genannten Server betreibt, sollte die Januar 2021-Sicherheitsupdates zeitnah installieren.

Anzeige
Anzeige
Dieser Beitrag wurde unter Sicherheit, Update, Windows Server abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.