6 Sicherheitslücken, die Microsoft nicht patcht (oder patchen kann)

Ihre Sicherheitsadministratoren müssen sich dieser ungepatchten Microsoft-Schwachstellen bewusst sein, damit sie sie auf andere Weise entschärfen können. [...]

Diese Schwachstellen hat Microsoft noch nicht gepatcht oder kann es nicht (c) pixabay.com

Sie sind vollständig gepatcht. Sie sind also vollkommen sicher, richtig? Nun, nicht so schnell. Für mehrere Microsoft-Probleme gibt es möglicherweise einen Patch. Einige sind Konfigurationsprobleme, die nicht gepatcht werden können. Auf GitHub hat Christoph Falta eine Liste mit Sicherheitsproblemen erstellt, die Microsoft entweder noch nicht gepatcht hat, nicht patchen wird oder die manuell angepasst werden müssen, um sie zu beheben. Hier ist ein Überblick über die Probleme auf der Liste:

1. Spoolsample

Wie Falta angibt, „missbraucht SpoolSample eine Funktion von MS-RPRN (das Drucksystem-Remote-Protokoll), um Ziel A zu zwingen, sich bei einem Ziel der Wahl des Angreifers (Ziel B) zu authentifizieren. Bei diesem Ziel handelt es sich in der Regel um einen anderen Host, auf dem ein NTLM-Relay-Tool (wie ntlmrelayx oder inveigh) läuft, das wiederum das Ziel A an das endgültige Ziel C“ weiterleitet.

Der Angriff wurde erstmals auf der DerbyCon 2018 von Lee Christensen, Will Schroeder und Matt Nelson vorgestellt und trägt den Titel „The Unintended Risks of Trusting Active Directory„. Wie Sean Metcalf in seinem Blog feststellte, können Angreifer, wenn ein Konto mit uneingeschränkter Delegation konfiguriert ist und der Print Spooler-Dienst auf einem Computer ausgeführt wird, die Anmeldeinformationen dieses Computers mit uneingeschränkter Delegation als Benutzer an das System senden.

Ein ähnliches Problem wurde im Mai 2020 in einem Blog als „Print Spoofer“ beschrieben, ebenso wie in einem kürzlich erschienenen Beitrag über die Übernahme einer Workstation mit einem ähnlichen Verfahren. Sie werden feststellen, dass viele der bekannten Angriffssequenzen, die eine Art von Druckspooler-Prozess und Active Directory verwenden, nicht nur seit Jahren bekannt sind, sondern auch aufgrund der jüngsten Druckspooler-Schwachstellen neues Interesse erfahren.

2. PetitPotam-Angriff

Der PetitPotam-Angriff wird zur Durchführung eines klassischen NTLM-Relay-Angriffs verwendet. Sie sind potenziell für diesen Angriff anfällig, wenn Sie Active Directory Certificate Services (ADCS) mit Certificate Authority Web Enrollment oder Certificate Enrollment Web Service verwenden. Microsoft empfiehlt, dass Sie den erweiterten Schutz für die Authentifizierung (EPA) oder die SMB-Signierung aktivieren.

Microsoft hat einen Hinweis für Systemadministratoren herausgegeben, den inzwischen veralteten Windows NT LAN Manager (NTLM) nicht mehr zu verwenden, um einen Angriff zu vereiteln. Genau hier liegt der Haken. Es kann sein, dass Sie NTLM in Ihrem Büro noch für eine wichtige Anwendung verwenden. Testen ist der Schlüssel zur Auswahl der richtigen Abhilfemaßnahmen.

3. ADCS – ESC8

Eine andere Angriffssequenz, die auf ADCS abzielt, beginnt mit der Webschnittstelle, die standardmäßig NTLM-Authentifizierung zulässt und keine Relay-Mitigations verstärkt. Eine vollständige Analyse des Angriffspotenzials wird auf der BlackHat von Will Schroeder und Lee Christensen von SpecterOps vorgestellt und als ADCS – ESC8 bezeichnet. Die aktuelle Angriffssequenz ermöglicht es einem Angreifer, die Authentifizierung an die Webschnittstelle weiterzuleiten und ein Zertifikat im Namen des weitergeleiteten Kontos anzufordern. Wieder einmal wird NTLM in Ihrem Netzwerk missbraucht, um Ihre Domäne zu übernehmen.

4. RemotePotatoe0

Der nächste potenzielle Angriff beinhaltet eine Privilegienerweiterung vom Benutzer zum Domänenadministrator. Wie bereits erwähnt, missbraucht RemotePotato0 den DCOM-Aktivierungsdienst und löst eine NTLM-Authentifizierung eines beliebigen Benutzers aus, der derzeit auf dem Zielcomputer angemeldet ist. Es ist erforderlich, dass ein privilegierter Benutzer auf demselben Rechner angemeldet ist (z. B. ein Domänen-Admin-Benutzer). Microsoft gibt an, dass das Problem nicht behoben wird und es an uns liegt, zu entscheiden, welche Abhilfemaßnahmen zu ergreifen sind.

5. PrintNightmare

PrintNightmare wurde im Rahmen des monatlichen Updates im Juli teilweise behoben, ist aber nach wie vor besorgniserregend, da es auf die Probleme mit dem Druckspooler-Dienst hinweist, die noch behoben werden müssen. In diesem Fall kann ein Angreifer eine bösartige DLL einschleusen, die den Druckspooler-Dienst nutzt, um mehr Kontrolle über den Computer oder das Netzwerk zu erlangen. Dies kann sowohl zur Remotecodeausführung als auch zur Ausweitung der Berechtigungen genutzt werden.

Die einzige wirkliche Abhilfemaßnahme für diese und jede andere zukünftige Druckspooler-Schwachstelle ist die Deaktivierung des Druckspooler-Dienstes. Dies ist für die meisten von uns, die drucken müssen, nicht sinnvoll. Für diejenigen mit Domänencontrollern wird empfohlen, den Druckspoolerdienst zu deaktivieren. Der Sicherheitsforscher Benjamin Delpy hat kürzlich einen über das Internet zugänglichen Druckserver erstellt, der Windows-Systemrechte installiert.

Es gibt verschiedene andere Möglichkeiten, Angriffe auf den Druckerspooler zu verhindern. Es wird empfohlen, den RPC- und SMB-Verkehr an Ihrer Grenze zu blockieren, indem Sie den ausgehenden Port 135 (RPC Endpoint Mapper) und 139/445 (SMB) blockieren. Verwenden Sie außerdem die Gruppenrichtlinie, um die Server einzuschränken oder sie mit der Option „Paketpunkt und Druck – zugelassene Server“ vollständig zu blockieren.

6. SeriousSAM

Zu guter Letzt ist da noch das Problem mit den falschen Berechtigungen namens SeriousSAM. Es wird erwartet, dass Microsoft diese Sicherheitslücke behebt, die auf falsche Berechtigungen zurückzuführen ist, die in verschiedenen Windows 10-Versionen seit 1809 gesetzt wurden. Sie wurde entdeckt, als ein Forscher falsche Einstellungen in Windows 11 fand und dann feststellte, dass sie auch in Windows 10 falsch eingestellt waren. Dadurch können Benutzer (und Angreifer) auf die gespeicherten Passwörter in der SAM-Datei zugreifen. Wenn der Computer in Gebrauch ist, können Sie die SAM-Datei nicht lesen. Wenn jedoch eine VSS-Kopie des Computers erstellt wird, ist die Kennwortstruktur in der Schattendateikopie offengelegt. Überprüfen Sie Ihr Netzwerk, um festzustellen, wie stark Sie davon betroffen sind. Es wurde festgestellt, dass einige Computerinstallationen kaum betroffen sind.

Diese Probleme machen deutlich, wie wichtig es ist, dass Ihre Sicherheitsteams auf nicht gepatchte Probleme achten. Eine gute Möglichkeit, sich auf dem Laufenden zu halten, besteht darin, relevante Diskussionen in den sozialen Medien auf Twitter und anderen Foren zu verfolgen. Unterm Strich: Ihr Netzwerk kann nicht nur durch Patches geschützt werden. Seien Sie sich dessen bewusst, was außerhalb Ihres Netzwerks vor sich geht, genauso wie Sie sich dessen bewusst sind, was innerhalb des Netzwerks vor sich geht.


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*