Die beiden CVEs ermöglichen die Umgehung von NTLM-Relais-Angriffsabschwächungen.
Zwei Microsoft-Schwachstellen, CVE-2019-1040 und CVE-2019-1019, würden es Angreifern ermöglichen, bösartigen Code auf jedem beliebigen Windows-Rechner per Fernzugriff auszuführen oder sich bei jedem Webserver zu authentifizieren, der die integrierte Windows-Authentifizierung (WIA) wie Exchange oder ADFS unterstützt.
Laut den Forschern von Preempt, die die Schwachstellen entdeckt haben, bestehen die beiden CVEs aus drei logischen Fehlern in NTLM, dem firmeneigenen Authentifizierungsprotokoll des Unternehmens. Eine erfolgreiche Ausnutzung würde es einem Angreifer ermöglichen, die E-Mails aller Benutzer zu lesen, sich bei jeder Cloud-Ressource zu authentifizieren, die von ADFS kontrolliert wird, Code auf jedem Rechner, auf dem das Opfer Privilegien hat, aus der Ferne auszuführen und verschiedene Netzwerkkonfigurationen zu ändern, um Hintertüren zu schaffen.
"NTLM ist anfällig für Relay-Angriffe, was es den Akteuren ermöglicht, eine Authentifizierung zu erfassen und an einen anderen Server weiterzuleiten, wodurch sie die Möglichkeit erhalten, Operationen auf dem entfernten Server mit den Privilegien des authentifizierten Benutzers durchzuführen", erklärten sie in einem am Dienstag veröffentlichten und vor der Veröffentlichung an Threatpost weitergeleiteten Bericht. "NTLM-Relay ist eine der häufigsten Angriffstechniken in Active Directory-Umgebungen, bei der der Angreifer einen Rechner kompromittiert und sich dann seitlich auf andere Rechner bewegt, indem er die NTLM-Authentifizierung verwendet, die an den kompromittierten Server gerichtet ist.
Während Microsoft zuvor mehrere Abschwächungen zur Verhinderung von NTLM-Relay-Angriffen entwickelt hat, haben Preempt-Forscher Fehler in diesen Abschwächungen entdeckt, die von Angreifern ausgenutzt werden können.
Alle Windows-Versionen sind verwundbar, und die Angriffsfläche ist groß.
"Es sind wahrscheinlich alle Netzwerke, die über ein Active Directory verfügen, und das ist die große Mehrheit der Netzwerke weltweit", sagte der Preempt-Forscher Yaron Ziner gegenüber Threatpost. "Wir haben keine offiziellen Statistiken, aber dies sind definitiv mehr als 90 Prozent der Netzwerke. Die bemerkenswerteste Tatsache ist unserer Meinung nach die Tatsache, dass es uns gelungen ist, alle NTLM-Minderungen zu durchbrechen, und jede NTLM-Nutzung kann zu einer Beeinträchtigung des Netzwerks führen.
Auch wenn NTLM-Relais eine alte Angriffstechnik ist, können Unternehmen die Verwendung des Protokolls nicht vollständig ausschließen, da es viele Anwendungen unterbrechen wird, so Preempt-Forscher. Microsoft hat jedoch im Rahmen des Patch-Dienstag-Updates für Juni Patches für die beiden Fehler herausgegeben. Ein vollständiger Schutz wird jedoch auch Konfigurationsänderungen erfordern.
"Der Patch, den Microsoft herausgeben wird, wird nicht ausreichen, um die beschriebenen Angriffe zu stoppen", sagte Ziner. "Eine sichere Konfiguration ist notwendig, um vollständig geschützt zu sein, und die Verwendung alter Protokollversionen ist immer noch ausnutzbar. Man muss den Datenverkehr sorgfältig überwachen und die Netzwerkkonfiguration analysieren, um 100 Prozent geschützt zu sein.
CVE-2019-1040 hat einen CVSS v3.0-Basiswert von 5,3, was ihn zu einem Fehler mittlerer Schwere macht; der andere, CVE-2019-1019, hat einen Basiswert von 8,5, was ihn als hochschweren Fehler einstuft. Microsoft stuft beide als "wichtig" ein. Die Forscher von Preempt sagten, dass sie die Fehler jedoch als kritisch betrachten.
