{"id":306937,"date":"2024-12-11T23:48:11","date_gmt":"2024-12-11T22:48:11","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=306937"},"modified":"2024-12-21T08:28:04","modified_gmt":"2024-12-21T07:28:04","slug":"microsoft-rollt-windows-haertung-gegen-standard-ntlm-relay-angriffe-aus","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/12\/11\/microsoft-rollt-windows-haertung-gegen-standard-ntlm-relay-angriffe-aus\/","title":{"rendered":"Microsoft rollt Windows-H\u00e4rtung gegen Standard-NTLM-Relay-Angriffe aus"},"content":{"rendered":"

\"Windows\"[English<\/a>]NTLM-Relaying ist eine beliebte Angriffsmethode, die von Bedrohungsakteuren zur Kompromittierung der Identit\u00e4t verwendet wird. Microsoft m\u00f6chte dem einen Riegel vorschieben und hat damit begonnen, Schutzma\u00dfnahmen in Windows auszurollen, die einen besseren Schutz vor Standard-NTLM-Relay-Angriffen bieten sollen.<\/p>\n

<\/p>\n

NTLM-Relay-Angriffe<\/h2>\n

\"\"NTLM-Relaying ist eine beliebte Angriffsmethode, um eine Identit\u00e4t zu kompromittieren bzw. zu stehlen. F\u00fcr den NTLM-Relay-Angriff wird das Opfer dazu gebracht, sich an einem beliebigen Endpunkt zu authentifizieren. Die Anmeldeinformationen werden dann an die Angreifer weitergeleitet.<\/p>\n

Durch die Weiterleitung der Anmeldeinformationen an einen anf\u00e4lligen Endpunkt k\u00f6nnen sich Angreifer authentifizieren und Aktionen im Namen des Opfers durchf\u00fchren. Dies verschafft Angreifern eine Ausgangsbasis f\u00fcr die weitere Kompromittierung einer Dom\u00e4ne.<\/p>\n

Microsoft erschwert NTLM-Relay-Angriffe<\/h2>\n

Um die Ausnutzung von Schwachstellen wie Relaying-Angriffe zu stoppen, ist es erforderlich, die anf\u00e4lligen Dienste standardm\u00e4\u00dfig ganzheitlich anzugehen. Hier kommen EPA oder andere Kanalbindungsmechanismen ins Spiel. Diese stellen sicher, dass sich Clients nur bei dem f\u00fcr sie vorgesehenen Server authentifizieren k\u00f6nnen.<\/p>\n

\"Schutz<\/a><\/p>\n

Microsoft hat den Artikel\u00a0Mitigating NTLM Relay Attacks by Default<\/a> ver\u00f6ffentlicht und beschreibt, was man in Produkten tut, um Systeme vor NTLM Relay-Angriffen zu sch\u00fctzten.<\/p>\n

Im Februar 2024 wurde ein Update f\u00fcr Exchange Server ver\u00f6ffentlicht, das mit \u00a0Extended Protection for Authentication<\/a>\u00a0einen erweiterten Schutz f\u00fcr die Authentifizierung (EPA) f\u00fcr neue und bestehende Installationen von Exchange 2019 aktiviert. Damit reagierte Microsoft auf die Schwachstelle CVE-2024-21410<\/a>.<\/p>\n

Mit Windows Server 2025 steht eine \u00e4hnliche Sicherheitsverbesserung f\u00fcr Azure Directory Certificate Services (AD CS) bereit. Auch dort ist EPA standardm\u00e4\u00dfig aktiviert. Dar\u00fcber hinaus ist in der gleichen Version von Windows Server 2025 f\u00fcr LDAP nun standardm\u00e4\u00dfig die Kanalbindung aktiviert. Durch diese Sicherheitsverbesserungen wird das Risiko von NTLM-Relaying-Angriffen standardm\u00e4\u00dfig f\u00fcr drei On-Premises-Dienste gemindert: Exchange Server, Active Directory Certificate Services (AD CS) und LDAP. Details lassen sich im\u00a0Artikel\u00a0Mitigating NTLM Relay Attacks by Default<\/a> nachlesen. Bei heise gibt es diesen Beitrag<\/a> mit einigen weiteren Informationen.<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]NTLM-Relaying ist eine beliebte Angriffsmethode, die von Bedrohungsakteuren zur Kompromittierung der Identit\u00e4t verwendet wird. Microsoft m\u00f6chte dem einen Riegel vorschieben und hat damit begonnen, Schutzma\u00dfnahmen in Windows auszurollen, die einen besseren Schutz vor Standard-NTLM-Relay-Angriffen bieten sollen.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,301],"tags":[4328,3288],"class_list":["post-306937","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows","tag-sicherheit","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/306937","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=306937"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/306937\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=306937"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=306937"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=306937"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}