{"id":192678,"date":"2017-08-01T01:22:11","date_gmt":"2017-07-31T23:22:11","guid":{"rendered":"http:\/\/www.borncity.com\/blog\/?p=192678"},"modified":"2022-06-27T09:29:08","modified_gmt":"2022-06-27T07:29:08","slug":"obacht-bei-microsofts-ldap-server-cve-2017-8563-fix","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2017\/08\/01\/obacht-bei-microsofts-ldap-server-cve-2017-8563-fix\/","title":{"rendered":"Obacht bei Microsofts LDAP Server CVE-2017-8563 Fix"},"content":{"rendered":"

[English<\/a>]Microsoft hat am 11. Juli 2017 ein Update zum Schlie\u00dfen der Windows Elevation of Privilege Vulnerability (CVE-2017-8563) f\u00fcr alle unterst\u00fctzten Windows Client freigegeben. Beim Einspielen der Updates m\u00fcssen Administratoren aber aufpassen, da andernfalls die Sicherheit in Active Directory-Umgebungen auf dem Spiel steht. <\/p>\n

<\/p>\n

Sicherheit von Dom\u00e4nencontrollern bedroht<\/h2>\n

\"\"Das Thema Active Directory und Dom\u00e4nencontroller ist nicht so meine Baustelle. Daher habe ich das Thema nur am Rande verfolgt. \"\"The Hacker News hat es hier<\/a> thematisiert, in den Microsoft Windows NTLM Security Protokollen gab es einige Sicherheitsl\u00fccken. The Hacker News schreibt:<\/p>\n

\n

The first vulnerability involves unprotected Lightweight Directory Access Protocol (LDAP) from NTLM relay, and the second impact Remote Desktop Protocol (RDP) Restricted-Admin mode.<\/p>\n<\/blockquote>\n

\u00dcber die L\u00fccke kann ein Angreifer \u00fcber einen ungepatchten Client einen Dom\u00e4nencontroller \u00fcbernehmen. <\/p>\n

Update verf\u00fcgbar, Installation nicht ausreichend<\/h2>\n

Die gute Nachricht ist, dass Microsoft am 11. Juli 2017 Updates zum Schlie\u00dfen der Elevation of Privilege Vulnerability (CVE-2017-8563) bereitgestellt hat. In CVE-2017-8563<\/a> beschreibt Microsoft die Sicherheitsl\u00fccke: <\/p>\n

\n

An elevation of privilege vulnerability exists in Microsoft Windows when a man-in-the-middle attacker is able to successfully forward an authentication request to a Windows LDAP server, such as a system running Active Directory Domain Services (AD DS) or Active Directory Lightweight Directory Services (AD LDS), which has been configured to require signing or sealing on incoming connections.<\/em><\/p>\n<\/blockquote>\n

\u00dcber die verlinkte CVE-2017-8563<\/a>-Seite l\u00e4sst sich erkennen, dass Updates f\u00fcr alle unterst\u00fctzten Windows-Clients Updates bereitstellt. Die Patches werden \u00fcber Windows Update zur Installation angeboten. <\/p>\n

Die schlechte Nachricht ist allerdings, dass die Installation der Updates in einer Active Directory-Umgebung nicht ausreichend ist. Der Dom\u00e4nencontroller k\u00f6nnte nach wie vor \u00fcbernommen werden \u2013 wie jemand in diesem Post<\/a> bei administrator.de anmerkt. Microsoft schreibt in den KB-Artikeln zu den CVE-2017-8563<\/a>-Updates (z.B. hier<\/a>)<\/p>\n

\n

Nach der Installation der Sicherheitsupdates f\u00fcr CVE-2017-8563 m\u00fcssen Administratoren den Registrierungsschl\u00fcssel \u201eLdapEnforceChannelBinding\" festlegen, um die CVE-Korrektur zu aktivieren. Weitere Informationen zum Festlegen des Registrierungsschl\u00fcssels finden Sie im Microsoft Knowledge Base-Artikel 4034879<\/a><\/u>.<\/p>\n<\/blockquote>\n

<\/blockquote>\n

Unter dem Microsoft Knowledge Base-Artikel 4034879<\/a> findet man dann folgende Details: <\/p>\n