[English]Sicherheitsforscher haben die Blast-RADIUS-Schwachstelle offengelegt. In diesem Kontext hat Microsoft Sicherheitsupdates für seine Windows-Systeme veröffentlicht. Mir liegt nun eine Nutzermeldung vor, dass nach Installation der Juli 2024-Updates bestimmte Radius-Authentifizierungen nicht mehr funktionieren. Hier ein Überblick und die Frage, ob es Einzelfall ist oder ob es weitere Fälle gibt.
Anzeige
Die Blast-RADIUS Schwachstelle
Kürzlich wurde von Sicherheitsforschern die Schwachstelle CVE-2024-3596 im RADIUS-Netzwerkprotokoll entdeckt. Die Schwachstelle ermöglicht es, sich in einem Netzwerk mittels des RADIUS-Netzwerk-Authentifizierungsprotokolls ohne weitere Authentifizierung anzumelden. Die Blast-RADIUS genannte Schwachstelle könnte die Netzwerksicherheit in Unternehmen gefährden, weil die RADIUS-Netzwerk-Authentifizierung unterlaufen werden kann.
Aktuell wird die Ausnutzung dieser Schwachstelle als wenig wahrscheinlich angesehen (der Aufwand ist noch recht hoch). Aber Microsoft hat die noch im Support befindlichen Windows-Versionen zum 9. Juli 2024 mit Sicherheitsupdates versehen, um die Blast-RADIUS-Schwachstelle abzuschwächen. Ich hatte das Thema im Blog-Beitrag Blast-RADIUS-Angriff ermöglicht RADIUS-Authentifizierung zu umgehen aufgegriffen.
Probleme mit RADIUS-Authentifizierung nach Updates
Daniel hat sich zum 12. Juli 2024 per Mail gemeldet, weil er in seiner Unternehmensumgebung auf Probleme gestoßen ist. Er schreibt, dass das Microsoft Update wohl noch mehr Probleme mit sich bringt [als in diversen Blog-Beiträgen angesprochen wurden]. Hinsichtlich der aufkommenden Radius-Problematik zerstört das Update Radius-Authentifzierungen.
Daniel beschreibt, dass es sich in seinem Fall um das Login an der Checkpoint Smartconsole handelt, die zur Verwaltung der Checkpoint Produkte nötig ist. In der Unternehmensumgebung des Lesers wurde die Authentifizierung des Logins mittels Windows-Radius-Server (NPS) realisiert.
Anzeige
Seit der Installation des Juli 2024-Windows Updates funktioniert dieses Login nicht mehr. Im Eventlog ist laut Blog-Leser aber zu sehen, dass der Radius-Server die Anfrage der Checkpoint annimmt und positiv beantwortet, also Zugriff gewährt.
Im Checkpoint Forum hat ein User geschrieben, dass er schon ein Ticket eröffnet hat. Es gibt auch einen Workaround, der im offiziellen Microsoft-Artikel steht:
This configuration enables NPS Proxy to drop potentially vulnerable response messages without the Message-Authenticator attribute. To add an exception to exclude a server from requireauthmsg validation, run the following command:
netsh nps set requiremsgauth remoteservergroup = <remote server group name> address = <server address> exception = "yes"
Allerdings ist beim Leser diese Funktion noch gar nicht aktiviert, also dürfte der Radius-Server auch nichts ablehnen. Daniel schloss seine Mail mit dem Hinweis ab: Vielleicht ist unser Problem Grund genug, die Blog-Leser zu fragen, ob sie seit dem Windows Update allgemein Probleme mit Windows-Radius-Servern und Third-Party-Geräten haben.
Ähnliche Artikel:
Microsoft Security Update Summary (9. Juli 2024)
Patchday: Windows 10/Server-Updates (9. Juli 2024)
Patchday: Windows 11/Server 2022-Updates (9. Juli 2024)
Windows Server 2012 / R2 und Windows 7 (9. Juli 2024)
Microsoft Office Updates (9. Juli 2024)
Windows 10/11 Updates (z.B. KB5040442) triggern Bitlocker-Abfragen (Juli 2024)
Windows Juli 2024-Updates machen Remote Verbindungen kaputt
Windows 11 Update KB5040442 verursacht Probleme mit Outlook 2021
Blast-RADIUS-Angriff ermöglicht RADIUS-Authentifizierung zu umgehen
Anzeige
Wir benutzen bei uns Radius (auch mit der NPS-Serverrolle auf einem Windows Server 2019) nur für die Anmeldung von WLAN-Geräten mit WPA2-Enterprise. Also unsere APs sind mit dem NPS verbunden und geben die Anmeldung der User an diesen zur Prüfung weiter. Diese Konstellation funktioniert auch nach den aktuellen Updates ohne Probleme, sowohl mit Windows Notebooks als auch mit Smartphones.
Bei uns ebenfalls kein Radius-Login an der SmartConsole möglich, nach Installation des Updates.
Wir verwenden RADIUS in vielfältigen Angelegenheiten. Darunter 802.1x für LAN/WLAN. Bislang kein Problem. Server sind auf Letztstand.
Bei uns konnten sich nur noch wenige WLAN-Clients mit EAP-TLS über den NPS-Server (Windows Server 2019) anmelden, nachdem die Juli-Updates installiert wurden. Seltsamerweise gingen ein paar, aber viele nicht. Im TCPDUMP war zu sehen, dass die RADIUS-EAP-Konversation nach einigen Paketen abbrach, ohne dass der NPS-Server jemals ein Access-Accept oder Access-Reject geschickt hat. Nach Deinstallation der Windows-Updates funktionierte wieder alles normal.
Wir haben das Radius Auth Problem ebenfalls in Verbindung mit einer Sophos XGS Firewall welche L2TP IPSEC Verbindungen gegen einen Windows Server 2019/22 NPAS authentifiziert.
Windows NPAS schickt ein "Zugriff genehmigt" an die XGS: Diese lehnt die Authentifizierung dann ab. Nach Deinstallation des KB5040430 läuft es nun erstmal wieder.
Ich werde hierzu ein Ticket bei Sophos eröffnen da es laut dem Checkpoint Forum wohl eher Nacharbeiten seitens der Radius-Clients benötigt.
Wir haben mit dem Juli 2024 Update für Server 2022 ebenfalls Probleme mit dem Microsoft Azure Multi-Factor Authentication Server (on premise).
Nicht alle MFA Optionen waren betroffen. Authentifizierung per Telefonanruf als Notlösung hätte noch funktioniert. Erst als das Update entfernt wurde funktionierte MFA auch über SMS Code wieder.
Die Radius Einstellungen wurden laut GUI und "netsh nps" durch das Update erwartungsgemäß nicht geändert. Die beschriebenen (teils neuen) Einstellungen waren also nicht aktiv. Im Ereignisprotokoll wurde auch nicht geloggt das Pakete verworfen worden wären.
Da scheint noch mehr im Argen zu sein als potentielle Probleme mit dem "Message-Authenticator attribute".
Nach über 3 Wochen schreibt Microsoft bei den Releasenotes zu den Updates immer noch das keine Probleme bekannt seien.