Microsoft hat einen Ratgeber und detaillierte Anweisungen zum Schutz von Windows-Domänencontrollern und anderen Windows-Servern vor dem als PetitPotam bekannten NTLM-Relay-Angriff veröffentlicht.
Die PetitPotam-Version des NTLM-Relay-Angriffs wurde letzte Woche vom französischen Sicherheitsforscher Gilles Lionel entdeckt, wie erstmals von The Record berichtet. Das von Lionel veröffentlichte Tool kann “Windows-Hosts dazu zwingen, sich über die MS-EFSRPC EfsRpcOpenFileRaw-Funktion bei anderen Maschinen zu authentifizieren”, erklärt er.
Mit anderen Worten, der Angriff kann dazu führen, dass sich ein entfernter Windows-Server bei einem Angreifer authentifiziert und die Anmeldeinformationen und Zertifikate für die Microsoft NTLM-Authentifizierung freigibt.
Microsoft stellt fest, dass PetitPotam “ein klassischer NTLM-Relay-Angriff ist”, der in einer Sicherheitswarnung von 2009 beschrieben wird, die “potenziell bei einem Angriff auf Windows-Domänencontroller oder andere Windows-Server verwendet werden kann”.
Es heißt, dass Kunden möglicherweise anfällig für PetitPotam sind, wenn die NTLM-Authentifizierung für eine Domäne aktiviert ist und Active Directory Certificate Services (AD CS) mit der Zertifizierungsstellen-Webregistrierung oder dem Certificate Enrollment-Webdienst verwendet wird.
Um NTLM-Relay-Angriffe zu verhindern, die diese Bedingungen erfüllen, rät Microsoft Domänenadministratoren sicherzustellen, dass Dienste, die die NTLM-Authentifizierung zulassen, “Schutzmaßnahmen wie Extended Protection for Authentication (EPA) oder Signaturfunktionen wie SMB” verwenden müssen Unterzeichnung.”
„PetitPotam nutzt Server, auf denen Active Directory Certificate Services (AD CS) nicht mit Schutz gegen NTLM-Relay-Angriffe konfiguriert sind“, stellt Microsoft in ADV210003 fest.
Microsoft hat in einem separaten KB-Artikel KB5005413 detailliertere Anweisungen zur Risikominderung bereitgestellt. Die „bevorzugte Mitigation“ von Microsoft deaktiviert die NTLM-Authentifizierung auf einem Windows-Domänencontroller.
Aber es enthält auch detaillierte und grafische Anweisungen für alternative Abwehrmaßnahmen, wenn es nicht möglich ist, die NTLM-Authentifizierung für eine Domäne zu deaktivieren. “Sie sind in der Reihenfolge von sicherer bis weniger sicher aufgelistet”, heißt es darin.
Sicherheit
Kaseya-Ransomware-Angriff: Was Sie wissen müssen Surfshark VPN-Rezension: Es ist billig, aber ist es gut? Die besten Browser für Datenschutz Cybersicherheit 101: Schützen Sie Ihre Privatsphäre Die besten Antiviren-Software und -Apps Die besten VPNs für Unternehmen und Privat Die besten Sicherheitsschlüssel für 2FA Wie Opfer, die das Lösegeld zahlen, weitere Angriffe fördern (ZDNet YouTube)
Verwandte Themen :
Sicherheits-TV-Datenverwaltung CXO-Rechenzentren