PetitPotam und weitere Wege, die Kontrolle über das AD zu übernehmen
Und ewig grüßt das Nilpferd
Ein neuer Angriff auf Windows-Netze ermöglicht es, die Rechte eines Domänenadministrators zu erlangen. Zwar gab es solche NTLM-Relay-Angriffe schon früher, neu ist aber, dass er die Standardkonfiguration vieler Windows-Netze betrifft und Microsoft wohl nichts dagegen unternehmen wird.
Von den meisten Windows-Schwachstellen und monatlichen Cumulative Updates sind die Active Directory Certificate Services (ADCS, die „Microsoft-PKI“) allenfalls indirekt betroffen. Das ist bei der kürzlich veröffentlichten PetitPotam-Attacke (siehe ix.de/ztbu) anders. Hier kann ein Angreifer unter aktiver Mitwirkung einer ADCS Enterprise CA unter Umständen ein Zertifikat erlangen, das ihm, umgetauscht in ein Kerberos-Ticket, die vollständige Kontrolle über das angegriffene Active Directory ermöglicht.
Auf der einen Seite ist PetitPotam ein Angriff auf eine altbekannte Schwachstelle des NTLM-Authentifikationsverfahrens, einer aus Gründen der Rückwärtskompatibilität seit langer Zeit mitgeschleppten Legacy-Funktion von Windows.