Ihre Sicherheitsadministratoren müssen sich dieser ungepatchten Microsoft-Schwachstellen bewusst sein, damit sie sie auf andere Weise entschärfen können. [...]
Sie sind vollständig gepatcht. Sie sind also vollkommen sicher, richtig? Nun, nicht so schnell. Für mehrere Microsoft-Probleme gibt es möglicherweise einen Patch. Einige sind Konfigurationsprobleme, die nicht gepatcht werden können. Auf GitHub hat Christoph Falta eine Liste mit Sicherheitsproblemen erstellt, die Microsoft entweder noch nicht gepatcht hat, nicht patchen wird oder die manuell angepasst werden müssen, um sie zu beheben. Hier ist ein Überblick über die Probleme auf der Liste:
1. Spoolsample
Wie Falta angibt, „missbraucht SpoolSample eine Funktion von MS-RPRN (das Drucksystem-Remote-Protokoll), um Ziel A zu zwingen, sich bei einem Ziel der Wahl des Angreifers (Ziel B) zu authentifizieren. Bei diesem Ziel handelt es sich in der Regel um einen anderen Host, auf dem ein NTLM-Relay-Tool (wie ntlmrelayx oder inveigh) läuft, das wiederum das Ziel A an das endgültige Ziel C“ weiterleitet.
Der Angriff wurde erstmals auf der DerbyCon 2018 von Lee Christensen, Will Schroeder und Matt Nelson vorgestellt und trägt den Titel „The Unintended Risks of Trusting Active Directory„. Wie Sean Metcalf in seinem Blog feststellte, können Angreifer, wenn ein Konto mit uneingeschränkter Delegation konfiguriert ist und der Print Spooler-Dienst auf einem Computer ausgeführt wird, die Anmeldeinformationen dieses Computers mit uneingeschränkter Delegation als Benutzer an das System senden.
Ein ähnliches Problem wurde im Mai 2020 in einem Blog als „Print Spoofer“ beschrieben, ebenso wie in einem kürzlich erschienenen Beitrag über die Übernahme einer Workstation mit einem ähnlichen Verfahren. Sie werden feststellen, dass viele der bekannten Angriffssequenzen, die eine Art von Druckspooler-Prozess und Active Directory verwenden, nicht nur seit Jahren bekannt sind, sondern auch aufgrund der jüngsten Druckspooler-Schwachstellen neues Interesse erfahren.
2. PetitPotam-Angriff
Der PetitPotam-Angriff wird zur Durchführung eines klassischen NTLM-Relay-Angriffs verwendet. Sie sind potenziell für diesen Angriff anfällig, wenn Sie Active Directory Certificate Services (ADCS) mit Certificate Authority Web Enrollment oder Certificate Enrollment Web Service verwenden. Microsoft empfiehlt, dass Sie den erweiterten Schutz für die Authentifizierung (EPA) oder die SMB-Signierung aktivieren.
Microsoft hat einen Hinweis für Systemadministratoren herausgegeben, den inzwischen veralteten Windows NT LAN Manager (NTLM) nicht mehr zu verwenden, um einen Angriff zu vereiteln. Genau hier liegt der Haken. Es kann sein, dass Sie NTLM in Ihrem Büro noch für eine wichtige Anwendung verwenden. Testen ist der Schlüssel zur Auswahl der richtigen Abhilfemaßnahmen.
3. ADCS – ESC8
Eine andere Angriffssequenz, die auf ADCS abzielt, beginnt mit der Webschnittstelle, die standardmäßig NTLM-Authentifizierung zulässt und keine Relay-Mitigations verstärkt. Eine vollständige Analyse des Angriffspotenzials wird auf der BlackHat von Will Schroeder und Lee Christensen von SpecterOps vorgestellt und als ADCS – ESC8 bezeichnet. Die aktuelle Angriffssequenz ermöglicht es einem Angreifer, die Authentifizierung an die Webschnittstelle weiterzuleiten und ein Zertifikat im Namen des weitergeleiteten Kontos anzufordern. Wieder einmal wird NTLM in Ihrem Netzwerk missbraucht, um Ihre Domäne zu übernehmen.
4. RemotePotatoe0
Der nächste potenzielle Angriff beinhaltet eine Privilegienerweiterung vom Benutzer zum Domänenadministrator. Wie bereits erwähnt, missbraucht RemotePotato0 den DCOM-Aktivierungsdienst und löst eine NTLM-Authentifizierung eines beliebigen Benutzers aus, der derzeit auf dem Zielcomputer angemeldet ist. Es ist erforderlich, dass ein privilegierter Benutzer auf demselben Rechner angemeldet ist (z. B. ein Domänen-Admin-Benutzer). Microsoft gibt an, dass das Problem nicht behoben wird und es an uns liegt, zu entscheiden, welche Abhilfemaßnahmen zu ergreifen sind.
5. PrintNightmare
PrintNightmare wurde im Rahmen des monatlichen Updates im Juli teilweise behoben, ist aber nach wie vor besorgniserregend, da es auf die Probleme mit dem Druckspooler-Dienst hinweist, die noch behoben werden müssen. In diesem Fall kann ein Angreifer eine bösartige DLL einschleusen, die den Druckspooler-Dienst nutzt, um mehr Kontrolle über den Computer oder das Netzwerk zu erlangen. Dies kann sowohl zur Remotecodeausführung als auch zur Ausweitung der Berechtigungen genutzt werden.
Die einzige wirkliche Abhilfemaßnahme für diese und jede andere zukünftige Druckspooler-Schwachstelle ist die Deaktivierung des Druckspooler-Dienstes. Dies ist für die meisten von uns, die drucken müssen, nicht sinnvoll. Für diejenigen mit Domänencontrollern wird empfohlen, den Druckspoolerdienst zu deaktivieren. Der Sicherheitsforscher Benjamin Delpy hat kürzlich einen über das Internet zugänglichen Druckserver erstellt, der Windows-Systemrechte installiert.
Es gibt verschiedene andere Möglichkeiten, Angriffe auf den Druckerspooler zu verhindern. Es wird empfohlen, den RPC- und SMB-Verkehr an Ihrer Grenze zu blockieren, indem Sie den ausgehenden Port 135 (RPC Endpoint Mapper) und 139/445 (SMB) blockieren. Verwenden Sie außerdem die Gruppenrichtlinie, um die Server einzuschränken oder sie mit der Option „Paketpunkt und Druck – zugelassene Server“ vollständig zu blockieren.
6. SeriousSAM
Zu guter Letzt ist da noch das Problem mit den falschen Berechtigungen namens SeriousSAM. Es wird erwartet, dass Microsoft diese Sicherheitslücke behebt, die auf falsche Berechtigungen zurückzuführen ist, die in verschiedenen Windows 10-Versionen seit 1809 gesetzt wurden. Sie wurde entdeckt, als ein Forscher falsche Einstellungen in Windows 11 fand und dann feststellte, dass sie auch in Windows 10 falsch eingestellt waren. Dadurch können Benutzer (und Angreifer) auf die gespeicherten Passwörter in der SAM-Datei zugreifen. Wenn der Computer in Gebrauch ist, können Sie die SAM-Datei nicht lesen. Wenn jedoch eine VSS-Kopie des Computers erstellt wird, ist die Kennwortstruktur in der Schattendateikopie offengelegt. Überprüfen Sie Ihr Netzwerk, um festzustellen, wie stark Sie davon betroffen sind. Es wurde festgestellt, dass einige Computerinstallationen kaum betroffen sind.
Diese Probleme machen deutlich, wie wichtig es ist, dass Ihre Sicherheitsteams auf nicht gepatchte Probleme achten. Eine gute Möglichkeit, sich auf dem Laufenden zu halten, besteht darin, relevante Diskussionen in den sozialen Medien auf Twitter und anderen Foren zu verfolgen. Unterm Strich: Ihr Netzwerk kann nicht nur durch Patches geschützt werden. Seien Sie sich dessen bewusst, was außerhalb Ihres Netzwerks vor sich geht, genauso wie Sie sich dessen bewusst sind, was innerhalb des Netzwerks vor sich geht.
Be the first to comment