K-iS Security Advisory 2021-012 – Active Directory Domain-Übernahme (CVE-2021-42287 / CVE-2021-42278)
Seit kurzem gibt es die Möglichkeit, die Rechte in Microsofts Active Directory mit einem Schadcode auszuweiten.
In einem Active Directory gibt es Benutzer- und Computerkonten. Die Computerkonten besitzen einen SAM-Account-Name (SAM-Account). Normalerweise haben diese Accounts am Ende ein „$“ stehen. Es gibt allerdings keinerlei Vorkehrungen, welche die SAM-Accounts auf ein „$“ am Ende prüfen. Angreifer können hier also eigene SAM-Accounts ohne $-Zeichen am Ende anlegen, die ebenfalls Gültigkeit erlangen und so zu einem Besitzer eines Computerkontos in der Domäne werden. Ein normaler Benutzer kann bis zu zehn solcher Computerkonten verändern und somit auch Domänen-Administratoren-Rechte erlangen. (CVE-2021-42278)
Bei der zweiten Sicherheitslücke handelt es sich um ein Problem bei der Kerberos-Authentifizierung im Active Directory. Dabei wird ein Ticket-Granting-Ticket (TGT) und im Anschluss ein Ticket-Granting-Service (TGS) vom Key Distribution Center angefordert. Findet das Key Distribution Center ein Konto nicht, wird die Anfrage mit einem angehängten $-Zeichen wiederholt. Diese Anfrage, in Kombination mit der ersten Sicherheitslücke, verursacht nun das eigentliche Problem. (CVE-2021-42287)
Folgende Vorgehensweise wird durch das K-iS Systemhaus empfohlen:
-
- Bitte überprüfen Sie ihre Active Directory Domänen-Controller und aktualisieren Sie diese zeitnah mit den aktuellen Windows Updates, um sicher zu gehen, dass die Patches gegen diese beiden Sicherheitslücken wirklich installiert sind.
- Im zweiten Schritt sollte der sogenannte Enforcement-Modus aktiviert werden, der durch Microsoft spätestens am 12. Juli 2022 zwangsweise aktiviert wird. Der Enforcement-Modus sollte allerdings frühestens 7 Tage nach Installation der aktuellen Windows Updates auf allen Domänen-Controllern aktiviert werden. Zu den erforderlichen Einstellungen werden wir eine gesonderte Meldung Anfang Januar 2022 verfassen, welche die nötigen Einstellungen beschreibt.
Bitte aktivieren Sie den Enforcement-Modus nicht direkt nach der Installation der Updates. Aktuell prüfen wir die Auswirkungen der Einstellung auch im Hinblick auf Kompatibilität mit älteren Systemen. Weitere Details dazu werden Sie im Januar-Beitrag erfahren.
Gerne unterstützen wir Sie bei der Analyse Ihrer Systeme und der Umsetzung von Maßnahmen. Melden Sie sich dazu bitte bei unserem Support per Mail (support@k-is.com) oder telefonisch (Deutschland: +49 271 31370-30 (Siegen) oder +49 6761 9321-55 (Simmern) | Schweiz: +41-55-536-1020) und vereinbaren einen zeitnahen Termin.
Weiterführende Links (Stand: Donnerstag, 23.12.2021):
[1] https://www.heise.de/news/Microsoft-raet-zu-schnellem-Patchen-von-Active-Directories-6304027.html