© best_vector/Shutterstock.com
Windows Developer
Wie wird man Admin? Indem man sich dazu macht!

Angriffsziel Active Directory

Active Directory - so die landläufige Meinung - ist ja nur ein Verzeichnisdienst. Also so etwas wie ein Telefonbuch für Windows-Rechner. Das kann ja eigentlich weder besonders gefährdet noch besonders gefährlich sein, oder?

Carsten Eilers


Schon ein reines Telefonbuch nach dem Muster „welcher Benutzer und welcher Dienst befindet sich wo“ ließe Raum für Angriffe. Zum Beispiel kann ein Angreifer den Eintrag für einen vertrauliche Daten verarbeitenden Dienst so ändern, dass die Daten auf seinem Rechner landen. Active Directory geht aber weit über eine solch einfache Auskunftsfunktion hinaus, da unter anderem auch die Authentifizierung der Benutzer und die Durchsetzung von Zugriffsbeschränkungen darüber abgewickelt werden. Und damit wird es zu einem interessanten Angriffsziel – die möglichen Folgen eines erfolgreichen Angriffs können zu einer großen Gefahr für das dazugehörige Netz werden. So groß, dass Microsoft 2014 eine Privilegieneskalation in Kerberos als kritisch eingestuft hat. Aber dazu kommen wir später, zunächst einmal geht es um eine aktuellere Schwachstelle mit dem Namen „Badlock“.

Badlock

Nun sind Namen für Schwachstellen und Angriffe inzwischen nichts Ungewöhnliches mehr; nicht, seit es 2014 üblich wurde, „wichtigen“ Schwachstellen einen möglichst auffälligen Namen zu verpassen [1], wie zum Beispiel Heartbleed, Shellshock oder Poodle.

Der Heartbleed-Bug in OpenSSL erlaubte das Ausspähen kritischer Informationen, zum Beispiel des privaten Schlüssels eines SSL-Zertifikats. Über die Shellshock-Schwachstellen in Bash ließen sich beispielsweise Server kompromittieren. Der Poodle-Angriff auf SSL 3.0 und einige TLS-Implementierungen ermöglichte über einen „Padding Oracle“-Angriff das Ausspähen von Teilen einer SSL/TLS-Verbindung wie zum Beispiel Session-Cookies.

Allerdings darf nicht vom Vorhandensein eines Namens auf die Gefährlichkeit einer Schwachstelle oder eines Angriffs geschlossen werden. Nur weil die Schwachstelle einen Namen und dazu dann meist noch eine eigene Website und ein eigenes Logo hat, ist sie nicht automatisch kritisch. Und nur weil ein neuer Angriff ohne eigene Website und werbewirksamen Namen daher kommt, ist er noch lange nicht ungefährlich.

Erst die Werbung, äh Warnung …

Ende März warnten die Samba-Entwickler vor einer kritischen Schwachstelle, der sie den Namen Badlock gegeben hatten und von der außer Samba auch Windows betroffen war. Das Samba-Team und Microsoft hatten die Veröffentlichung der Updates für den 12. April vorgesehen, und die Betreiber betroffener Server sollten sich für diesen Tag auf die Installation der Updates einstellen. Darüber hinaus wurde nur bekannt gegeben, dass es sich um ein Problem mit der Authentifizierung handelt und die Entdecker der Sch...

Windows Developer
Wie wird man Admin? Indem man sich dazu macht!

Angriffsziel Active Directory

Active Directory - so die landläufige Meinung - ist ja nur ein Verzeichnisdienst. Also so etwas wie ein Telefonbuch für Windows-Rechner. Das kann ja eigentlich weder besonders gefährdet noch besonders gefährlich sein, oder?

Carsten Eilers


Schon ein reines Telefonbuch nach dem Muster „welcher Benutzer und welcher Dienst befindet sich wo“ ließe Raum für Angriffe. Zum Beispiel kann ein Angreifer den Eintrag für einen vertrauliche Daten verarbeitenden Dienst so ändern, dass die Daten auf seinem Rechner landen. Active Directory geht aber weit über eine solch einfache Auskunftsfunktion hinaus, da unter anderem auch die Authentifizierung der Benutzer und die Durchsetzung von Zugriffsbeschränkungen darüber abgewickelt werden. Und damit wird es zu einem interessanten Angriffsziel – die möglichen Folgen eines erfolgreichen Angriffs können zu einer großen Gefahr für das dazugehörige Netz werden. So groß, dass Microsoft 2014 eine Privilegieneskalation in Kerberos als kritisch eingestuft hat. Aber dazu kommen wir später, zunächst einmal geht es um eine aktuellere Schwachstelle mit dem Namen „Badlock“.

Badlock

Nun sind Namen für Schwachstellen und Angriffe inzwischen nichts Ungewöhnliches mehr; nicht, seit es 2014 üblich wurde, „wichtigen“ Schwachstellen einen möglichst auffälligen Namen zu verpassen [1], wie zum Beispiel Heartbleed, Shellshock oder Poodle.

Der Heartbleed-Bug in OpenSSL erlaubte das Ausspähen kritischer Informationen, zum Beispiel des privaten Schlüssels eines SSL-Zertifikats. Über die Shellshock-Schwachstellen in Bash ließen sich beispielsweise Server kompromittieren. Der Poodle-Angriff auf SSL 3.0 und einige TLS-Implementierungen ermöglichte über einen „Padding Oracle“-Angriff das Ausspähen von Teilen einer SSL/TLS-Verbindung wie zum Beispiel Session-Cookies.

Allerdings darf nicht vom Vorhandensein eines Namens auf die Gefährlichkeit einer Schwachstelle oder eines Angriffs geschlossen werden. Nur weil die Schwachstelle einen Namen und dazu dann meist noch eine eigene Website und ein eigenes Logo hat, ist sie nicht automatisch kritisch. Und nur weil ein neuer Angriff ohne eigene Website und werbewirksamen Namen daher kommt, ist er noch lange nicht ungefährlich.

Erst die Werbung, äh Warnung …

Ende März warnten die Samba-Entwickler vor einer kritischen Schwachstelle, der sie den Namen Badlock gegeben hatten und von der außer Samba auch Windows betroffen war. Das Samba-Team und Microsoft hatten die Veröffentlichung der Updates für den 12. April vorgesehen, und die Betreiber betroffener Server sollten sich für diesen Tag auf die Installation der Updates einstellen. Darüber hinaus wurde nur bekannt gegeben, dass es sich um ein Problem mit der Authentifizierung handelt und die Entdecker der Sch...

Neugierig geworden?


    
Loading...

Angebote für Teams

Für Firmen haben wir individuelle Teamlizenzen. Wir erstellen Ihnen gerne ein passendes Angebot.

Das Library-Modell:
IP-Zugang

Das Company-Modell:
Domain-Zugang