{"id":243274,"date":"2021-01-26T00:30:00","date_gmt":"2021-01-25T23:30:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=243274"},"modified":"2021-09-20T10:39:04","modified_gmt":"2021-09-20T08:39:04","slug":"details-zur-windows-ntlm-schwachstelle-cve-2021-1678-verffentlicht","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/01\/26\/details-zur-windows-ntlm-schwachstelle-cve-2021-1678-verffentlicht\/","title":{"rendered":"Details zur Windows NTLM-Schwachstelle CVE-2021-1678 ver&ouml;ffentlicht"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2013\/03\/winb.jpg\" width=\"58\" height=\"58\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/?p=18374\" target=\"_blank\" rel=\"noopener\">English<\/a>]In Windows Server 2008 bis Windows Server 2012 R2 gibt es die Schwachstelle CVE-2021-1 (NTLM Security Feature Bypass Vulnerability), die von Microsoft aber inzwischen gepatcht wurde. Jetzt wurden Details zur Schwachstelle ver\u00f6ffentlicht.<\/p>\n<p><!--more--><\/p>\n<h2>NTLM Security Feature Bypass Vulnerability CVE-2021-1678<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg04.met.vgwort.de\/na\/1b2ae6a594bf4db5976229bedd82fb2d\" alt=\"\" width=\"1\" height=\"1\" \/>Die Schwachstelle <a href=\"https:\/\/msrc.microsoft.com\/update-guide\/en-US\/vulnerability\/CVE-2021-1678\" target=\"_blank\" rel=\"noopener\">CVE-2021-1678 <\/a> (NTLM Security Feature Bypass Vulnerability) wurde von Microsoft am 12. Januar 2021 bekannt gegeben. Es gibt eine Schwachstelle im Netzwerk-Stack, die ein Angreifer missbrauchen kann, um die NTLM-Sicherheitsfunktionen zu umgehen. Microsoft hat aber nicht allzu viele Details verraten, nur dass der Benutzer bei einem Angriff mithelfen muss, damit dieser ausgef\u00fchrt werden kann. Der CVSS-Wert wurde daher nur mit 3.0 4.3 \/ 3.8 angegeben.<\/p>\n<p>F\u00fcr Windows Server 2008 bis Windows Server 2012 R2 gibt es Sicherheitsupdates vom 12. Januar 2021, die diese Schwachstelle schlie\u00dfen sollen. Bei Windows Server 2008\/R2 ist zu beachten, dass diese Maschinen das Sicherheitsupdate nur erhalten, wenn eine ESU-Supportverl\u00e4ngerung besteht.<\/p>\n<h2>Details der Schwachstelle offen gelegt<\/h2>\n<p>The Hacker News greift den obigen Sacherhalt auf und <a href=\"https:\/\/thehackernews.com\/2021\/01\/experts-detail-recent-remotely.html\" target=\"_blank\" rel=\"noopener\">berichtet hier<\/a>, dass Sicherheitsforscher von Crowdstrike mehr Details zur Schwachstelle offen gelegt haben. Dazu wurde der Patch von Microsoft einer Reverse-Analyse unterzogen. Auf der Suche nach verwundbaren RPC-Schnittstellen, die keine Form von Paketsicherheit erfordern, haben die Sicherheitsforscher eine interessante verwundbare Schnittstelle gefunden: IRemoteWinspool, eine RPC-Schnittstelle f\u00fcr die Remote-Verwaltung von Druckerspoolern.<\/p>\n<p>Die Sicherheitsforscher suchten nach einem Weg, um per NTLM-Relay eine NTLM-Sitzung von einem ausreichend privilegierten Benutzerkonto aus zu verwenden, um eine Folge von RPC-Operationen auszuf\u00fchren, die den gew\u00fcnschten Effekt erzielen. Das ist den Sicherheitsforschern wohl gelungen. Sie schreiben: Wird die Schwachstelle nicht gepatcht, kann ein Angreifer eine Remotecodeausf\u00fchrungs-Attacke \u00fcber ein NTLM-Relay versuchen. Die Details finden sich im Crowdstrik Sicherheitshinweis <a href=\"https:\/\/www.crowdstrike.com\/blog\/cve-2021-1678-printer-spooler-relay-security-advisory\/\" target=\"_blank\" rel=\"noopener\">Security Advisory: MSRPC Printer Spooler Relay (CVE-2021-1678)<\/a>. Wer also einen der genannten Server betreibt, sollte die Januar 2021-Sicherheitsupdates zeitnah installieren.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]In Windows Server 2008 bis Windows Server 2012 R2 gibt es die Schwachstelle CVE-2021-1 (NTLM Security Feature Bypass Vulnerability), die von Microsoft aber inzwischen gepatcht wurde. Jetzt wurden Details zur Schwachstelle ver\u00f6ffentlicht.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,185,2557],"tags":[4328,4315,4364],"class_list":["post-243274","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-update","category-windows-server","tag-sicherheit","tag-update","tag-windows-server"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/243274","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=243274"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/243274\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=243274"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=243274"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=243274"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}