[English]Am gestrigen 24. Juli 2021 hatte ich über einen neuen Angriffsvektor namens PetitPotam berichtet, über den mittels eines NTLM-Relay-Angriffs Windows Domain Controller übernommen werden können (siehe mein Beitrag PetitPotam-Angriff erlaubt Windows Domain-Übernahme). Inzwischen hat Microsoft reagiert und einen Sicherheitshinweis zu diesem Sicherheitsproblem veröffentlicht. Gleichzeitig macht Microsoft Vorschläge, wie diese Sicherheitslücke durch Administratoren abgeschwächt werden kann. Ich fasse mal die wichtigsten Informationen zusammen.
Anzeige
Microsoft PetitPotam-Sicherheitshinweis
Blog-Leser Carsten hat gestern Nacht in diesem Kommentar bereits darauf hingewiesen (danke dafür), dass Microsoft etwas in Bezug auf PetitPotam veröffentlicht habe. Zur gleichen Zeit habe ich von Microsoft eine Mail mit dem nachfolgenden Inhalt als Sicherheitshinweis erhalten.
********************************************************************
Title: Microsoft Security Update Revisions
Issued: July 24, 2021
********************************************************************Summary
=======The following advisory and CVE have undergone major revision increments.
====================================================================
The following advisory has been published to the Security Update Guide:
* ADV210003
– ADV210003 | Mitigating NTLM Relay Attacks on Active Directory Certificate
Services (AD CS)
– Version: 1.0
– Reason for Revision: Information published.
– Originally posted: July 24, 2021
– Updated: N/A
– Aggregate CVE Severity Rating: N/A
Unter ADV210003 geht Microsoft auf die Schwachstelle ein, die NTLM Relay-Angriffe auf Active Directory-Zertifikate ermöglicht und schreibt etwas von einer Mitigation, also einer Abschwächung des Angriffsvektors.
Die PetitPotam-Schwachstelle
Ich hatte den Angriffsvektor zwar bereits im Blog-Beitrag PetitPotam-Angriff erlaubt Windows Domain-Übernahme kurz skizziert. Der Microsoft Sicherheitshinweis liefert nun aber die Bestätigung, dass Microsoft da eine Sicherheitslücke sieht. Es heißt:
Microsoft is aware of PetitPotam which can potentially be used in an attack on Windows domain controllers or other Windows servers. PetitPotam is a classic NTLM Relay Attack, and such attacks have been previously documented by Microsoft along with numerous mitigation options to protect customers. For example, see Microsoft Security Advisory 974926.
Microsoft ist sich also des PetitPotam-Angriffsvektors durch NTLM Relay-Angriffe auf Active Directory-Zertifikate bewusst und verweist auf das aus dem Jahr 2009 stammende Advisory 974926. Das Ganze ist also nicht neu, jemand hat das alles lediglich unter dem PetitPotam geschickt verpackt. Betroffen von dieser Schwachstelle sind:
Anzeige
- Windows Server 2008
- Windows Server 2008 R2
- Windows Server 2012
- Windows Server 2012 R2
- Windows Server 2016
- Windows Server 2019
- Windows Server 2004
- Windows Server 20H2
Bezüglich der genauen Varianten verweise ich auf die Liste in ADV210003.
Microsofts Workaround gegen PetitPotam
Im Sicherheitshinweis ADV210003 gibt Microsoft folgenden Hinweis, um die Systeme gegen PetitPotam-Angriffe mittels NTLM-Relay-Attacken in Netzwerken mit aktiviertem NTLM zu verhindern:
To prevent NTLM Relay Attacks on networks with NTLM enabled, domain administrators must ensure that services that permit NTLM authentication make use of protections such as Extended Protection for Authentication (EPA) or signing features such as SMB signing. PetitPotam takes advantage of servers where Active Directory Certificate Services (AD CS) is not configured with protections for NTLM Relay Attacks. The mitigations outlined in KB5005413 instruct customers on how to protect their AD CS servers from such attacks.
You are potentially vulnerable to this attack if NTLM authentication is enabled in your domain and you are using Active Directory Certificate Services (AD CS) with any of the following services:
- Certificate Authority Web Enrollment
- Certificate Enrollment Web Service
Domänenadministratoren müssen sicherstellen, dass Dienste, die eine NTLM-Authentifizierung zulassen, Schutzmaßnahmen wie Extended Protection for Authentication (EPA) oder Signierungsfunktionen wie SMB-Signierung verwenden. PetitPotam macht sich Server zunutze, bei denen der Active Directory Certificate Services (AD CS) nicht mit Schutzmaßnahmen für NTLM-Relay-Angriffe konfiguriert ist. Die in KB5005413 beschriebenen Abhilfemaßnahmen sollten Hilfestellung liefern, wie AD CS-Server vor solchen Angriffen zu schützen sind.
Ähnliche Artikel:
PetitPotam-Angriff erlaubt Windows Domain-Übernahme
HiveNightmare: Neue Details zur Windows-Schwachstelle CVE-2021-36934
Neue Infos zur Windows 10-Schwachstelle HiveNightmare
PrintNightmare: Point-and-Print erlaubt die Installation beliebiger Dateien
Anzeige
Gibt wohl auch wieder Druckerprobleme… https://winfuture.de/news,124239.html
Ich weiß, hatte es gelesen – danke. Aber es ist Sonntag, Familienmitglied kam gestern mit Blinddarmdurchbruch unter's OP-Messer – und die Geschichte mit den Druckern ist nicht so weit verbreitet, so dass das noch bis Montag für eine Aufbereitung Zeit hat. Bin eh nur wegen des MS PetiPotam-Sicherheitshinweise an den Rechner.
Die Kollen von WindowsPro hatten vor zwei Wochen einen Beitrag zu den genannten Maßnahmen wie LDAP Channel Binding und LDAP Signing: https://www.windowspro.de/philip-lorenz/domain-controller-ldap-channel-binding-ldap-signing-absichern
Im KB5005413 ist ja alles (fast) genau beschrieben: Mitigating NTLM Relay Attacks on Active Directory Certificate Services (AD CS)
Dazu habe ich aber noch eine Frage:
der Abschnitt mit der web.config Anpassung: After enabling EPA in the UI, the Web.config file created by CES role at "%windir%\systemdata\CES\_CES_Kerberos\web.config"
…bezieht sich wohl nur auf die Certificate Enrollment Web Service – oder?
wenn man nur die Certificate Authority Web Enrollment installiert hat und dort die Extended Protection einschaltet, dann muss man wohl keine web.config händisch nachbearbeiten – oder?
Ach ja, noch was: wenn man beim Certificate Authority Web Enrollment auf Negotiate: Kerberos umstellt, dann meckert die UI, wenn bei Extended Protection 'Enable Kernel-mode authentication' eingeschaltet bleibt. Muss man dann glaube ich ausschalten, aber auf den Screenshots von MS ist die anscheinend noch eingeschaltet (das passt wohl nicht) Muss man die dann wohl ausschalten?
Ohje da bin ich mal gespannt wie sich das die kommenden Monate entwickelt. Ich selbst bin Admin einer größeren öffentlichen Einrichtung. Nur dummerweise gibt es aktuell keinen Admin bei uns der sich mit dem Windows-kram auskennt (im Team gab es einen größeren Abgang der "Windows-Admins"). Ich selbst bin im Bereich Netzwerkadministration, Rechenzentrumsbetrieb und Administration der Linux-Landschaft zuständig.
Mit Windows, AD und dem ganzen Kram hatte ich noch nie was zu tun und auch keiner von uns übrig gebliebenen hat Zeit und Ressourcen sich darum zu kümmern. Die Führungsebenen wollen davon natürlich nichts wissen obwohl wir das mehrfach gemeldet haben. Naja, es muss vermutlich erst richtig krachen bis jemand unsere Hilferufe nach Personal, der sich mit dem Windows Zeugs auskennt, hört.
das wäre dann die nächste Stufe:
– Abwerbung der Windows Admins an Strohmannfirmen
– Übernahme der Windowssysteme
– Lösegeldforderungen
Ich habe mich heute einmal mit der Umsetzung der Mitigations befasst, um jetzt festzustellen, dass Microsoft den Artikel umgeändert hat von der Reihenfolge!?!?
Ich gehe davon aus, dass so mancher wohl stur die erste Empfehlung „NTLM in der Domäne abzuschalten" umgesetzt hat und elendig Schiffbruch damit erlitten hat…
Wenn Du einen Exchange on-prem (ohne Hybrid) hast, dann ist das sicherlich spannend geworden ;-)