Microsoft gibt Hinweise zum Schutz vor KrbRelayUp-Angriffen in Windows-Domains

[English]KrbRelayUp-Angriffe ermöglichen eine lokale Privilegienerweiterung in Windows-Domänenumgebungen, in denen die LDAP-Signierung nicht erzwungen wird. Die Standardeinstellungen für Active Directory sind immer noch unsicher. Microsoft hat in einem Beitrag aber nun erläutert, wie Administratoren die Systeme gegen KrbRelayUp-Angriffen in Windows-Domains schützen können.

Ich hatte im Blog-Beitrag Sicherheits- und Datenschutzmeldungen (28. April 2022) über KrbRelayUp-Angriffe in Windows Domains kurz berichtet. Ein KrbRelayUp-Angriff ermöglicht eine lokale Privilegienerweiterung in Windows-Domänenumgebungen, in denen die LDAP-Signierung nicht erzwungen wird. Auf Github hatte jemand einen Wrapper im Quellcode publiziert, der diese Angriffe vereinfachen soll. Administratoren sollten also handeln und die LDAP-Signierung erzwingen.

Microsoft veröffentlicht Sicherheitshinweis

Microsoft hat nun einen Blog-Beitrag Detecting and preventing privilege escalation attacks leveraging Kerberos relaying (KrbRelayUp) zum Thema veröffentlicht und zeigt, wie sich Systeme gegen KrbRelayUp-Angriffe auf Domain Controllern schützen können. Ich bin über nachfolgenden Tweet auf das Thema gestoßen.

Hintergrund ist wohl, dass am 24. April 2022 auf GitHub ein Hacking-Tool, KrbRelayUp, zur Privilegienerweiterung von dem Sicherheitsforscher Mor Davidovich veröffentlicht wurde. KrbRelayUp ist ein Wrapper, der die Nutzung einiger Funktionen der Tools Rubeus, KrbRelay, SCMUACBypass, PowerMad/SharpMad, Whisker und ADCSPwn in Angriffen rationalisieren kann.

Microsoft empfiehlt seinen Kunden, Domain Controller zu aktualisieren, so dass die LDAP-Server-Signierungsanforderungen auf "Signierung erforderlich" stehen. Das wurde in diesem Advisory beschrieben. In diesem Blog wird beschrieben, ,wie Extended Protection for Authentication (EPA) zu aktivieren ist. Der Microsoft-Blog-Beitrag beschreibt den Angriffsweg und gibt Hinweise, wie man diese Angriffe abschwächen kann.