{"id":223616,"date":"2019-10-17T00:47:00","date_gmt":"2019-10-16T22:47:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=223616"},"modified":"2023-07-02T22:39:55","modified_gmt":"2023-07-02T20:39:55","slug":"microsoft-ntlm-schwachstelle-hack-der-domain-controller","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2019\/10\/17\/microsoft-ntlm-schwachstelle-hack-der-domain-controller\/","title":{"rendered":"Microsoft NTLM-Schwachstelle: Hack der Domain-Controller"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" align=\"left\" height=\"47\"\/>Noch ein Nachtrag zum Oktober 2019-Patchday f\u00fcr Windows. Im Microsoft NTLM wurden gerade zwei Schwachstellen durch Windows-Updates geschlossen, die es Angreifern erm\u00f6glichen, Domain-Controller im Netzwerk anzugreifen und zu \u00fcbernehmen. <\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" alt=\"\" src=\"https:\/\/vg07.met.vgwort.de\/na\/ef91047794174680a4875c0336f2ac63\" width=\"1\" height=\"1\"\/>In nachfolgendem Tweet weist Alex Whitehat darauf hin, dass das Standard Authentifizierungs-Protokoll Microsoft NTLM, welches schon unter Windows NT 4.0 verwendet wurde, nun durch ein Ticket-basierendes Kerbereos Authentifizierungs-Protokoll ersetzt werde. <\/p>\n<blockquote class=\"twitter-tweet\">\n<p lang=\"en\" dir=\"ltr\">Microsoft NTLM is the default authentication protocol used on NT 4.0 and earlier Windows versions, now it was replaced with Kerberos ticket-based authentication protocol.<br \/>The post Microsoft NTLM Vulnerability Let Hackers..(<a href=\"https:\/\/t.co\/3NqxH6sY0U\">https:\/\/t.co\/3NqxH6sY0U<\/a>) (<a href=\"https:\/\/t.co\/u6q6IThcfe\">https:\/\/t.co\/u6q6IThcfe<\/a>). <a href=\"https:\/\/t.co\/k2InxHgJ0N\">pic.twitter.com\/k2InxHgJ0N<\/a><\/p>\n<p>\u2014 Alex Whitehat (@AlexYBGH1) <a href=\"https:\/\/twitter.com\/AlexYBGH1\/status\/1182186027609415680?ref_src=twsrc%5Etfw\">October 10, 2019<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script> <\/p>\n<p>Dies ist erforderlich, da zwei Schwachstellen CVE 2019-1166 und CVE-2019-1338 in Microsoft NTLM gefunden wurden. Sicherheitsforscher von prempt <a href=\"https:\/\/web.archive.org\/web\/20191224233229\/https:\/\/www.preempt.com\/blog\/drop-the-mic-2-active-directory-open-to-more-ntlm-attacks\/\" target=\"_blank\" rel=\"noopener noreferrer\">beschreiben hier<\/a> die beiden Schwachstellen. <\/p>\n<ul>\n<li>CVE 2019-1166: Diese Schwachstelle erm\u00f6glicht es Angreifern, den MIC-Schutz (Message Integrity Code) bei der NTLM-Authentifizierung zu umgehen und dadurch jedes Feld im NTLM-Nachrichtenfluss zu \u00e4ndern, einschlie\u00dflich der Signaturanforderung. Dieser Bypass erm\u00f6glicht es Angreifern, Authentifizierungsversuche, die erfolgreich ausgehandelt wurden, an einen anderen Server weiterzuleiten, w\u00e4hrend der Server dazu gebracht wird, die Signaturanforderung vollst\u00e4ndig zu ignorieren. Alle Server, die die Signatur nicht erzwingen, sind f\u00fcr diesen Angriff anf\u00e4llig.&nbsp; <\/li>\n<li>CVE 2019-1338: Diese Schwachstelle erm\u00f6glicht es Angreifern, den MIC-Schutz zu umgehen, und zusammen mit anderen NTLM-Relay-Abschw\u00e4chungen wie Enhanced Protection for Authentication (EPA) und Target SPN-Validierung f\u00fcr bestimmte alte NTLM-Clients, die LMv2-Challenge-Antworten senden. Dieser Angriff erm\u00f6glicht es Angreifern, NTLM-Relay zu verwenden, um sich erfolgreich an kritischen Servern wie OWA und ADFS zu authentifizieren und wertvolle Benutzerdaten zu stehlen.<\/li>\n<\/ul>\n<p>Damit sind Angriffen auf Active Directory-Strukturen und Domain-Controller m\u00f6glich, wie Blog-Leser <a href=\"https:\/\/borncity.com\/blog\/2019\/10\/08\/microsoft-security-update-summary-8-oktober-2019\/#comment-78974\" target=\"_blank\" rel=\"noopener noreferrer\">hier<\/a> und <a href=\"https:\/\/borncity.com\/blog\/2019\/10\/09\/patchday-windows-10-updates-8-oktober-2019\/#comment-79118\" target=\"_blank\" rel=\"noopener noreferrer\">hier<\/a> bereits anmerkten. Bleeping Computer <a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/new-microsoft-ntlm-flaws-may-allow-full-domain-compromise\/\" target=\"_blank\" rel=\"noopener noreferrer\">hat hier einen Artikel<\/a> zu den Problemen und den Updates ver\u00f6ffentlicht.<\/p>\n<h2>Microsoft stellt Updates bereit<\/h2>\n<p>Mit den Sicherheitsupdate hat Microsoft die Schwachstellen CVE 2019-1166 (<a href=\"https:\/\/web.archive.org\/web\/20200310042113\/https:\/\/portal.msrc.microsoft.com\/en-US\/security-guidance\/advisory\/CVE-2019-1166\" target=\"_blank\" rel=\"noopener noreferrer\">Windows NTLM Tampering Vulnerability<\/a>) und CVE-2019-1338 (<a href=\"https:\/\/portal.msrc.microsoft.com\/en-US\/security-guidance\/advisory\/CVE-2019-1338\" target=\"_blank\" rel=\"noopener noreferrer\">Windows NTLM Security Feature Bypass Vulnerability<\/a>) geschlossen. In den verlinkten Artikeln finden sich auch die Links zu den KB-Nummern der jeweiligen Windows-Updates. Administratoren sollten also diese Updates installieren, um die Schwachstellen zu beseitigen und die Authentifizierung umzustellen. Bleibt die Frage, welche Kollateralsch\u00e4den dies verursacht und ob die Update-Installation wegen anderer M\u00e4ngel scheitert bzw. Probleme bereitet. <\/p>\n","protected":false},"excerpt":{"rendered":"<p>Noch ein Nachtrag zum Oktober 2019-Patchday f\u00fcr Windows. Im Microsoft NTLM wurden gerade zwei Schwachstellen durch Windows-Updates geschlossen, die es Angreifern erm\u00f6glichen, Domain-Controller im Netzwerk anzugreifen und zu \u00fcbernehmen.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,301],"tags":[4328,4325],"class_list":["post-223616","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows","tag-sicherheit","tag-windows"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/223616","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=223616"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/223616\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=223616"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=223616"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=223616"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}