{"id":265739,"date":"2022-05-26T01:32:55","date_gmt":"2022-05-25T23:32:55","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=265739"},"modified":"2022-05-26T01:41:38","modified_gmt":"2022-05-25T23:41:38","slug":"microsoft-gibt-hinweise-zum-schutz-vor-krbrelayup-angriffen-in-windows-domains","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/05\/26\/microsoft-gibt-hinweise-zum-schutz-vor-krbrelayup-angriffen-in-windows-domains\/","title":{"rendered":"Microsoft gibt Hinweise zum Schutz vor KrbRelayUp-Angriffen in Windows-Domains"},"content":{"rendered":"

\"Windows\"[English<\/a>]KrbRelayUp-Angriffe erm\u00f6glichen eine lokale Privilegienerweiterung in Windows-Dom\u00e4nenumgebungen, in denen die LDAP-Signierung nicht erzwungen wird. Die Standardeinstellungen f\u00fcr Active Directory sind immer noch unsicher. Microsoft hat in einem Beitrag aber nun erl\u00e4utert, wie Administratoren die Systeme gegen KrbRelayUp-Angriffen in Windows-Domains sch\u00fctzen k\u00f6nnen.<\/p>\n

<\/p>\n

\"\"Ich hatte im Blog-Beitrag Sicherheits- und Datenschutzmeldungen (28. April 2022)<\/a> \u00fcber KrbRelayUp-Angriffe in Windows Domains kurz berichtet. Ein KrbRelayUp-Angriff erm\u00f6glicht eine lokale Privilegienerweiterung in Windows-Dom\u00e4nenumgebungen, in denen die LDAP-Signierung nicht erzwungen wird. Auf Github<\/a> hatte jemand einen Wrapper im Quellcode publiziert, der diese Angriffe vereinfachen soll. Administratoren sollten also handeln und die LDAP-Signierung erzwingen.<\/p>\n

Microsoft ver\u00f6ffentlicht Sicherheitshinweis<\/h2>\n

Microsoft hat nun einen Blog-Beitrag Detecting and preventing privilege escalation attacks leveraging Kerberos relaying (KrbRelayUp)<\/a> zum Thema ver\u00f6ffentlicht und zeigt, wie sich Systeme gegen KrbRelayUp-Angriffe auf Domain Controllern sch\u00fctzen k\u00f6nnen. Ich bin \u00fcber nachfolgenden Tweet<\/a> auf das Thema gesto\u00dfen.<\/p>\n

<\/a><\/p>\n

Hintergrund ist wohl, dass am 24. April 2022 auf GitHub ein Hacking-Tool, KrbRelayUp<\/a>, zur Privilegienerweiterung von dem Sicherheitsforscher Mor Davidovich ver\u00f6ffentlicht wurde. KrbRelayUp ist ein Wrapper, der die Nutzung einiger Funktionen der Tools Rubeus, KrbRelay, SCMUACBypass, PowerMad\/SharpMad, Whisker und ADCSPwn in Angriffen rationalisieren kann.<\/p>\n

Microsoft empfiehlt seinen Kunden, Domain Controller zu aktualisieren, so dass die LDAP-Server-Signierungsanforderungen auf \"Signierung erforderlich\" stehen. Das wurde in diesem Advisory<\/a> beschrieben. In diesem Blog<\/a> wird beschrieben, ,wie Extended Protection for Authentication (EPA) zu aktivieren ist. Der Microsoft-Blog-Beitrag beschreibt den Angriffsweg und gibt Hinweise, wie man diese Angriffe abschw\u00e4chen kann.<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]KrbRelayUp-Angriffe erm\u00f6glichen eine lokale Privilegienerweiterung in Windows-Dom\u00e4nenumgebungen, in denen die LDAP-Signierung nicht erzwungen wird. Die Standardeinstellungen f\u00fcr Active Directory sind immer noch unsicher. Microsoft hat in einem Beitrag aber nun erl\u00e4utert, wie Administratoren die Systeme gegen KrbRelayUp-Angriffen in Windows-Domains sch\u00fctzen … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,2557],"tags":[4328,4364],"class_list":["post-265739","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows-server","tag-sicherheit","tag-windows-server"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/265739","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=265739"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/265739\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=265739"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=265739"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=265739"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}