Microsoft verwacht misbruik van kritieke Windows Kerberos-kwetsbaarheid
Microsoft verwacht dat aanvallers misbruik zullen gaan maken van een kritieke Kerberos-kwetsbaarheid in Windows waarvoor gisteren beveiligingsupdates verschenen. Kerberos is een authenticatieprotocol dat vaak wordt gebruikt om gebruikers of hosts in Windowsomgevingen te authenticeren. Het is ook het authenticatieprotocol gebruikt in Active Directory-implementaties. Duizenden organisaties en bedrijven wereldwijd maken gebruik van Active Directory om gebruikersgroepen en rechten te definiëren en netwerkvoorzieningen beschikbaar te maken.
Tijdens de eerste patchdinsdag van 2024 kwam Microsoft met beveiligingsupdates voor 49 kwetsbaarheden, waarvan er twee als kritiek zijn aangemerkt. De Kerberos-kwetsbaarheid (CVE-2024-20674) heeft de hoogste impactscore gekregen, een 9.0 op een schaal van 1 tot en met 10. Via het beveiligingslek kan een ongeauthenticeerde aanvaller man-in-the-middle (MiTM) aanvallen uitvoeren waarbij hij een Kerberos-authenticatiesever spooft.
Een aangevallen client ontvangt in dit geval een bericht van de aanvaller dat van de echte Kerberos-authenticatieserver afkomstig lijkt. Een aanvaller zou hiervoor wel eerst toegang tot het netwerk moeten krijgen. Microsoft omschrijft de kwetsbaarheid als een " Security Feature Bypass". Dergelijke beveiligingslekken krijgen meestal een lagere impactscore, maar in dit geval gaat het volgens Microsoft om een kritieke kwetsbaarheid.
Daarnaast verwacht het techbedrijf dat aanvallers er misbruik van zullen gaan maken. "Exploitation more likely", aldus Microsoft eigen Exploitability Index. Volgens de uitleg zijn soortgelijke kwetsbaarheden in het verleden vaker misbruikt, wat het een aantrekkelijk doelwit voor aanvallers maakt en het daardoor waarschijnlijker is dat er ook exploits zullen verschijnen. Organisaties die van Kerberos gebruikmaken moeten deze kwetsbaarheid dan ook met een hogere prioriteit behandelen, aldus Microsoft.
Wij geven bakken met geld uit aan symptoombestrijding want de bron aanpakken ligt politiek gevoelig want wij zijn het schoothondje van grote Amerikaanse bedrijven en volgen dus automatisch (incl snoepreisjes naar redmond) totdat de boel versleuteld is. Dan schreeuwen wij moord en brand en moet de hacker een zwaardere straf krijgen dan een moordenaar.
Wij geven bakken met geld uit aan symptoombestrijding want de bron aanpakken ligt politiek gevoelig want wij zijn het schoothondje van grote Amerikaanse bedrijven en volgen dus automatisch (incl snoepreisjes naar redmond) totdat de boel versleuteld is. Dan schreeuwen wij moord en brand en moet de hacker een zwaardere straf krijgen dan een moordenaar.
Beetje zuur vandaag?
Niet echt zinnig wat je neergekrabbeld hebt.
De invulling bij MS kent in de stappen allerlei encryptiestappen in de uitwisseling.
Domain Controllers? Servers (oa RDP) met users? Machines waar browsers op draaien die verbinding maken met een server met een trojan?
Natuurlijk begrijp ik dat ze niet meer info geven. Oa een man-in-the-middel is al veel. Als ze zó tightlipped zijn dan is het een heftige. Zeker gezien de CSS score van 9.0 zónder geverifieerd misbruik.
De invulling bij MS kent in de stappen allerlei encryptiestappen in de uitwisseling.
kortom, weer eens protocol niet geheel goed geimplementeerd in code.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.