
Windows-accounts lekken via gat in Active Directory
Door een feature van oude Windows-omgevingen te ondersteunen, is Active Directory kwetsbaar voor aanvallers.
Door een feature van oude Windows-omgevingen te ondersteunen, is Active Directory kwetsbaar voor aanvallers. Die kunnen Windows-inloggegevens bemachtigen.

Windows-accounts lekken via gat in Active Directory
Door een feature van oude Windows-omgevingen te ondersteunen, is Active Directory kwetsbaar voor aanvallers. Die kunnen Windows-inloggegevens bemachtigen.
Een ontwerpfout veroorzaakt een beveiligingsprobleem in Active Directory, zo ontdekte onderzoeker Tal Be'ery. Aanvallers kunnen inloggegevens van de Active Directory bemachtigen en vervolgens inloggen op Windows ingeprikte systemen, zoals Outlook WebAccess of Remote Desktop. Microsoft heeft al een paar issues aangepakt die zo'n aanval deels blokkeren, maar een omvattende oplossing is niet mogelijk.
Bemachtigen inloggegevens
Het probleem schuilt in het verouderde authenticatieprotocol NTLM, dat Active Directory vroeger gebruikte voor Single Sign On (Windows XP SP3 en eerder). Inmiddels wordt daar Kerberos voor gebruikt, dat stevigere versleuteling hanteert. Maar Kerberos is achterwaarts compatibel met NTLM en het is mogelijk om via Kerberos een HMAC-sleutel te verkrijgen met zo'n ouderwetse NTLM-hash.
Daarmee is deze pass-the-hash-aanval in te zetten binnen een bedrijf dat een recente Windows-omgeving heeft uitgerold. Met de sleutel kunnen aanvallers vervolgens het wachtwoord van een gebruiker aanpassen. Gewapend met de nieuwe inloggegevens, hebben ze toegang tot alles wat deze credentials vereist, zoals WebAccess van Outlook of de Remote Desktop.
Microsoft: bekende beperking
Volgens de onderzoeker is de kwetsbaarheid een functioneel onderdeel van het Single Sign On-ontwerp van AD - dat is dus niet zomaar op te lossen. Microsoft heeft in mei een patch uitgebracht waarmee het lastiger is om NTLM-hashes te stelen en raadt aan dat bedrijven smart cards gebruiken of de HMAC-ondersteuning van Kerberos uitschakelen. Maar dat kunnen aanvallers omzeilen (zie hieronder).
Be'ery acht ook het gebruik van smartcards geen oplossing voor de meeste bedrijven, die met een hoop legacy-systemen zitten te kijken die dan per direct uitgefaseerd zouden moeten worden.
Microsoft zegt tegenover de onderzoeker dat het issue dan ook een bekende beperking is van het design. Be'ery schrijft het daar niet mee eens te zijn, omdat de afzonderlijke issues gedocumenteerd zijn, maar juist de aaneenschakeling die hij gebruikte om de aanval uit te voeren het probleem is. Dat zou dan weer niet breed bekend zijn bij admins die de AD implementeren.
HMAC-ondersteuning blijft inzetbaar
Het zou niet zo eenvoudig zijn om NTLM uit te schakelen, ook als de organisatie die Active Directory gebruikt uitsluitend de nieuwste Windows-versies gebruikt. Kerberos verleent gebruikers toegang op basis van een uitgebreide identiteit, maar als een netwerkresource wordt aangesproken via een IP-adres waarbij die gegevens ontbreken, valt Active Directory terug op NTLM om toegang te verlenen.
Dit soort gedragingen maakt het lastig om HMAC-ondersteuning daadwerkelijk uit te schakelen. De reden voor deze feature zou zijn om upgraden van een NT 4.0-omgeving naar Windows 2000 en later makkelijker te maken. Dit staat ook beschreven in de IETF-documentatie over RC4 Kerberos.
Impact verkleinen
Be'ery zegt tegenover de News Service van Computerworld-uitgever IDG dat het de aanval wordt gedwarsboomd als Single Sign On wordt uitgeschakeld. Het praktische nadeel daarvan is dat netwerkgebruikers vaker hun wachtwoord zouden moeten invoeren als ze resources aanspreken, wat natuurlijk de gebruiksvriendelijkheid niet ten goede komt.
Be'ery stelt dat er geen eenvoudige oplossing is, maar raadt aan om de genoemde patch van Microsoft te installeren die het lastiger maakt NTLM-hashes te stelen en maatregelen nemen om een pass-the-hash-aanval te dwarsbomen. Een andere oplossing van Microsoft is om Domain Functional Level (DFL) van Windows Server 2012 R2 te implemteren en gebruikers toe te voegen aan de groep Protected Users. Daarmee is het niet meer mogelijk om Kerberos-HMAC's aan te spreken. Deze groep heeft wel een hoop beperkingen en is volgens Be'ery daarom niet voor alle gebruikers geschikt.
Reageer
Preview