CVE-2020-17049 ist eine Sicherheitsanfälligkeit bezüglich der Umgehung von Kerberos-Sicherheitsfunktionen, die jetzt durch einen Proof-of-Concept-Exploit-Code bewaffnet wurde. Der PoC-Code zeigt eine neue Angriffstechnik an, mit der Bedrohungsakteure auf mit dem Netzwerk verbundene Dienste zugreifen können.
Ein solcher Angriff kann verschiedene Auswirkungen haben. Systeme, auf denen Windows ausgeführt wird 10 Das Jubiläums-Update wurde vor zwei Exploits geschützt, bevor Microsoft Patches adressierte’ Fragen. Der neue Angriff wurde dem Bronze-Bit-Angriff unterworfen, und das Patchen war für Microsoft eine ziemliche Herausforderung. Ein erster Fix für den Exploit wurde letzten Monat im November veröffentlicht 2020 Patchday.
Jedoch, Einige Microsoft-Kunden hatten Probleme mit dem Patch, und ein neuer musste diesen Monat ausgestellt werden.
CVE-2020-17049
Sicherheitsforschung Jake Karnes von NetSPI veröffentlichte eine technische Aufschlüsselung von CVE-2020-17049, um Netzwerktechnikern ein besseres Verständnis der Sicherheitsanfälligkeit zu ermöglichen. Die Forscher erstellten zusammen mit der technischen Analyse auch einen Proof-of-Concept-Code. Der Forscher sagt, dass der Bronze-Bit-Angriff eine neue Variante bekannter Golden Ticket- und Silver Ticker-Exploits ist, die auf die Kerberos-Authentifizierung abzielen. Allen Exploits ist gemeinsam, dass sie genutzt werden können, sobald ein Bedrohungsakteur das interne Netzwerk eines Unternehmens verletzt hat.
Da das Kerberos-Authentifizierungsprotokoll seitdem in allen Standard-Windows-Versionen vorhanden ist 2000, Viele Systeme sind möglicherweise gefährdet. Ein Angreifer, der mindestens ein System in einem Netzwerk verletzt und Kennwort-Hashes extrahiert hat, kann diese verwenden, um Anmeldeinformationen für andere Systeme im selben Netzwerk zu umgehen und zu fabrizieren. Die einzige Bedingung ist, dass das Kerberos-Protokoll vorhanden ist.
Der Bronze-Bit-Angriff unterscheidet sich von den beiden anderen darin, in welchen Teilen Angreifer Kompromisse eingehen möchten. In diesem Fall, Bedrohungsakteure sind nach den von Microsoft als Erweiterung des Kerberos-Protokolls hinzugefügten Protokollen S4U2self und S4U2proxy. Laut Karnes, Das S4U2self-Protokoll wird verwendet, um ein Serviceticket für einen Zielbenutzer für den gefährdeten Service zu erhalten. Der Passwort-Hash des Dienstes wird immer missbraucht.
“Der Angriff manipuliert dann dieses Serviceticket, indem sichergestellt wird, dass das weiterleitbare Flag gesetzt ist (das umdrehen “Weiterleitbar” bisschen zu 1). Das manipulierte Serviceticket wird dann im S4U2proxy-Protokoll verwendet, um ein Serviceticket für den Zielbenutzer für den Zieldienst zu erhalten,” Der Forscher erklärt.
Weitere Informationen zum Kerberos-Protokoll
Das Windows Active Directory verwendet das Kerberos-Protokoll zur Authentifizierung von Benutzern, Server, und andere Ressourcen untereinander innerhalb einer Domäne. Das Protokoll basiert auf der Kryptographie mit symmetrischen Schlüsseln, bei der jeder Principal einen langfristigen geheimen Schlüssel hat.
Dieser geheime Schlüssel ist nur dem Principal selbst und dem Key Distribution Center bekannt (KDC). In einer AD-Umgebung, Der Domänencontroller übernimmt die Rolle des KDC. (...) Mit seiner Kenntnis des geheimen Schlüssels jedes Auftraggebers, Das KDC erleichtert die Authentifizierung eines Principals gegenüber einem anderen durch Ausgabe “Tickets.” Diese Tickets enthalten Metadaten, Autorisierungsinformationen und zusätzliche geheime Schlüssel, die für zukünftige Tickets verwendet werden können, Sagt Karnes in seinem theoretischen Artikel.
Wie bereits erwähnt, Microsoft hat in den letzten Monaten mehrere Patches veröffentlicht, um das Problem zu beheben. Diese Patches befinden sich in der MSRC-Beratungsleitfaden. Weitere Informationen von Microsoft finden Sie hier Support-Artikel.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: