image

Beveiligingsbedrijf claimt lek in Active Directory

dinsdag 15 juli 2014, 10:25 door Redactie, 7 reacties

Een Israëlisch bedrijf claimt een kwetsbaarheid in Microsofts Active Directory te hebben ontdekt waardoor een aanvaller het wachtwoord van een gebruiker kan wijzigen zonder dat dit in de logs verschijnt, maar Microsoft stelt dat het om een bekende beperking van de gebruikte authenticatieprotocollen gaat.

Via Active Directory kunnen bedrijven en organisaties hun gebruikers op een domein laten inloggen. Deze Microsoft service zou door 95% van de Fortune 1000 bedrijven worden gebruikt. Het Israëlische bedrijf Aorato zegt dat het een lek heeft ontdekt dat het mogelijk maakt voor een aanvaller om het wachtwoord van een gebruiker te wijzigen en met dit wachtwoord op verschillende diensten in te loggen, zoals het Remote Desktop Protocol (RDP) en Outlook Web Access (OWA).

Om de aanval uit te voeren moet een aanvaller eerst toegang tot het systeem krijgen, bijvoorbeeld via malware. Eenmaal actief op het systeem kan de aanvaller de NTLM-hash stelen. Deze hash, een gecodeerde versie van het wachtwoord, is standaard aanwezig op alle computers die op de bedrijfsomgeving inloggen. Dit is een bekende aanval die bedrijven proberen te voorkomen door bijvoorbeeld het gebruik van NTLM te beperken, dat standaard staat ingeschakeld.

Een aanvaller die echter toegang tot het systeem heeft kan de computer zich op Active Directory via een zwakker encryptieprotocol laten aanmelden waarbij de NTLM-hash wordt gebruikt. Deze hash kan de aanvaller onderscheppen en vervolgens gebruikten om toegang tot bepaalde diensten te krijgen of het wachtwoord van het slachtoffer te wijzigen.

Microsoft

Het beveiligingsbedrijf waarschuwde Microsoft, dat de bevindingen bevestigde. Volgens Microsoft gaat het echter om een beperking die niet kan worden verholpen. Aangezien de specificaties van deze protocollen publiek bekend zijn, gaat het volgens Microsoft om een bekende beperking. Aorato is het hier niet mee eens. "Als dit lek in het ontwerp zit, is het een ontwerpfout", aldus het bedrijf.

De IT-beveiliger stelt dat de combinatie van problemen waardoor de geschetste aanval mogelijk is niet bekend is. Ook hekelt het bedrijf dat Microsoft de activiteiten niet logt. In deze blogposting doet Aorato verschillende aanbevelingen om het probleem te verhelpen.

Reacties (7)
15-07-2014, 12:36 door spatieman
its not a bug, its a undocumented feature!!!
15-07-2014, 12:55 door Anoniem
Pash the Hash ... * gaap * oud nieuws; wakker worden Aorato. NTLMv2 is zwak en MS adviseert het niet te gebruiken (Kerberos only), maarja dat is complexer in beheer; dus alle luie Sharepoint beheerders en 3rd party e-mail archiving tools (ja McAfee, ik bedoel jullie !) blijven lekker op NTLM hangen....
15-07-2014, 12:56 door Bati
Een bekende beperking van een protocol is dus geen lek, goed om te weten.
15-07-2014, 14:39 door Anoniem
Tsja. Als ze nou hun huiswerk gedaan hadden. De enige "upgrade" die beschikbaar is op dit veelgebruikte NTLMv2 is dus dat Active Directory ding, wat voor nogal wat toepassingen gewoon teveel moeite is. Hoe mooi en geweldig het ding ook met "embrace and extend" (en dus incompatibel) voortbouwt op een redelijk doordacht systeem. Dus blijft NTLM in gebruik.

Ze hadden dus minstens (ook) een NTLMv3 moeten ontwikkelen, en dat al jaren terug. Want we weten inderdaad al jaren van de zwakheden in NTLMv2 maar het blijft maar opduiken want de alternatieven zijn gewoon niet altijd beschikbaar of geschikt, om technische danwel politieke redenen. Door dus geen NTLMv3 beschikbaar te maken weigeren ze in feite een bekend gat te dichten.

En nee, naar anderen wijzen is niet afdoende. Zij zijn de facilitatoren die hier weigeren te faciliteren, maar wel de spil zijn die maakt dat alleen zij dat faciliteren zouden kunnen.
15-07-2014, 14:51 door Anoniem
Door Anoniem: luie Sharepoint beheerders

Heej niet iedereen over één kam scheren he ;-)

Maar je hebt gelijk. Kerberos is the way to go.
Het is alleen een hel om het werkend te krijgen. Vooral Sharepoint icm met SQL reporting services.

Maar als het eenmaal werkt, dan is makkelijk qua beheer met rechten en ook stukken beter qua beveiliging.

Tips voor mensen die stoeien met Kerberos, AD, SQL, SharePoint , Reporting services.
Check je SPN's op dubbele records,zorg dat de SPN's naar de service accounts verwijzen en zorg dat de SPN's de juiste protocollen gebruiken.
15-07-2014, 17:02 door Anoniem
G.a.a.p..... inderdaad...

Pass-the-hash, uitgebreid gedocumenteerd, oa in http://www.microsoft.com/en-us/download/details.aspx?id=36036

Ook een mooi voorbeeld van Internet-verhaspeling. De claim met betrekking tot het "niet loggen" gaat over de Pass the Hash aanval zelf. Als een aanvaller met behulp van Pass-the-hash het wachtwoord wijzigt komt dat gewoon in de logs te staan. Zo staat het ook in de originele blog, maar 1 citaat later is het al mis...
17-07-2014, 16:39 door Anoniem
De Blog even goed lezen, mensen. Het gaat hier niet om Pass-the-Hash maar om Pass-the-(Kerberos)Ticket.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.