[English]KrbRelayUp-Angriffe ermöglichen eine lokale Privilegienerweiterung in Windows-Domänenumgebungen, in denen die LDAP-Signierung nicht erzwungen wird. Die Standardeinstellungen für Active Directory sind immer noch unsicher. Microsoft hat in einem Beitrag aber nun erläutert, wie Administratoren die Systeme gegen KrbRelayUp-Angriffen in Windows-Domains schützen können.
Anzeige
Ich hatte im Blog-Beitrag Sicherheits- und Datenschutzmeldungen (28. April 2022) über KrbRelayUp-Angriffe in Windows Domains kurz berichtet. Ein KrbRelayUp-Angriff ermöglicht eine lokale Privilegienerweiterung in Windows-Domänenumgebungen, in denen die LDAP-Signierung nicht erzwungen wird. Auf Github hatte jemand einen Wrapper im Quellcode publiziert, der diese Angriffe vereinfachen soll. Administratoren sollten also handeln und die LDAP-Signierung erzwingen.
Microsoft veröffentlicht Sicherheitshinweis
Microsoft hat nun einen Blog-Beitrag Detecting and preventing privilege escalation attacks leveraging Kerberos relaying (KrbRelayUp) zum Thema veröffentlicht und zeigt, wie sich Systeme gegen KrbRelayUp-Angriffe auf Domain Controllern schützen können. Ich bin über nachfolgenden Tweet auf das Thema gestoßen.
Hintergrund ist wohl, dass am 24. April 2022 auf GitHub ein Hacking-Tool, KrbRelayUp, zur Privilegienerweiterung von dem Sicherheitsforscher Mor Davidovich veröffentlicht wurde. KrbRelayUp ist ein Wrapper, der die Nutzung einiger Funktionen der Tools Rubeus, KrbRelay, SCMUACBypass, PowerMad/SharpMad, Whisker und ADCSPwn in Angriffen rationalisieren kann.
Anzeige
Microsoft empfiehlt seinen Kunden, Domain Controller zu aktualisieren, so dass die LDAP-Server-Signierungsanforderungen auf "Signierung erforderlich" stehen. Das wurde in diesem Advisory beschrieben. In diesem Blog wird beschrieben, ,wie Extended Protection for Authentication (EPA) zu aktivieren ist. Der Microsoft-Blog-Beitrag beschreibt den Angriffsweg und gibt Hinweise, wie man diese Angriffe abschwächen kann.
Anzeige
Hallo,
wo befindet sich denn bei Server 2012/Server2012R2 das Protokoll für den Verzeichnisdienst? Oder heißt es hier anders? Ich wollte mir das nach dieser Anleitung auf dem DC anschauen, aber da ist es bei uns nicht vorhanden.
https://www.gruppenrichtlinien.de/artikel/ldap-signing-auf-domaenencontrollern-erzwingen
Ok, vergesst das. Trotz deutschem AD heißte er bei uns wohl "Directory Service" in der Ereignisanzeige…