Die US-amerikanische CISA warnt Unternehmen davor, Microsoft Windows-Updates vom Mai auf Domain-Controllern zu installieren. Ein Kommentar von Ran Harel, Principal Security Product Manager beim AD-Security-Anbieter Semperis.
Die jüngsten Probleme bei der Active Directory-Authentifizierung im Zusammenhang mit dem Patch Tuesday im Mai 2022 verdeutlichen die Komplexität, die mit der Sicherung von AD verbunden ist. Bei der Installation auf Windows-Servern, die als Domain-Controller fungieren, führte das Update zu Authentifizierungsfehlern bei den Diensten NPS, RRA, EAP und PEAP. Der Patch „unterbricht“ die zertifikatsbasierte Computerauthentifizierung an Domain-Controller. Obwohl Microsoft an der Behebung dieser Probleme arbeitet, empfiehlt das Unternehmen in der Zwischenzeit Workarounds, einschließlich der manuellen Zuordnung von Zertifikaten.
Die fraglichen Updates sollten zwei Sicherheitslücken mit erhöhten Berechtigungen beheben: CVE-2022-26931 und CVE-2022-26923, die Kerberos und Active Directory Domain Services betreffen. Als Reaktion darauf unternahm die CISA den ungewöhnlichen Schritt, die Sicherheitslücke CVE-2022-26925 von der Liste der ausgenutzten Sicherheitslücken zu streichen. Ohne diese Maßnahme müssten die zivilen US-Bundesbehörden der Exekutive den fehlerhaften Patch, der auch ein Update zur Behebung von CVE-2022-26925 enthält, bis zum 1. Juni installieren.
Was bedeutet dies für Unternehmen, die sich Sorgen machen, Opfer des nächsten PetitPotam zu werden?
CVE-2022-26925 kann Systeme anfällig für Authentication-Coercion Exploits machen. Solche Angriffe sind mit NTLM-Relay bei den betroffenen Diensten gekoppelt. Die Abschwächung des Authentifizierungszwangs (Authentication Coercion) ist keine triviale Aufgabe. Einige führende Sicherheitsforscher wie James Forshaw und Ben Delpy haben darauf hingewiesen, dass RPC-Filter verwendet werden können, um den Zugriff auf die betroffenen Endpunkte zu beschränken. Der Zugriff lässt sich auch auf bestimmte Gruppen beschränken.
Die beste Möglichkeit, den Authentifizierungszwang für Angreifer unbrauchbar zu machen, besteht darin, sicherzustellen, dass Anwendungen und Dienste innerhalb der Domains für Relay-Angriffe unempfindlich sind. Der erste Schritt besteht darin, eine AD-Sicherheitsbewertung mit einem Tool wie dem kostenlosen Purple Knight von Semperis durchzuführen, das Indikatoren für Schwachstellen wie die, die mit diesem Patch behoben werden sollen, aufdeckt