Elad Shamir

Nach der Veröffentlichung von Sicherheits-Patches für zwei Active Directory-Schwachstellen während des Patch Tuesday im November 2021 forderte Microsoft seine Kunden am 20. Dezember dringend auf, die Patches sofort anzuwenden, um zu verhindern, dass Angreifer Windows-Domänen übernehmen. Zusätzlich zu den Patches können Unternehmen ihre Abwehr gegen Angriffe verbessern, indem sie eine Reihe von Maßnahmen ergreifen, um die unbefugte Erstellung von Konten zu verhindern, die zu einer Eskalation der Privilegien und einem Angriff führen könnten.

Verwandte Lektüre

Ein Blick hinter die Kulissen von CVE-2021-42278 und CVE-2021-42287

Am9. November 2021 veröffentlichte Microsoft vier CVEs im Zusammenhang mit Sicherheitsproblemen in Active Directory und schrieb sie Andrew Bartlett zu. Bei drei dieser Sicherheitsupdates geht es um die Überprüfung der Eindeutigkeit bestimmter Attribute von AD-Objekten und um die Überprüfung, dass sich bei der Ausstellung von Kerberos-Tickets keine Drähte kreuzen, was zur Ausstellung von Tickets für den falschen Principal oder für den falschen Dienst führen kann.

In der Infosec-Community wird häufig spekuliert, dass die Ausnutzung dieser Probleme unzuverlässige Wettlaufsituationen oder andere Grenzfälle umfassen würde. Ein von den Sicherheitsforschern Charlie Clark und Ceri Coburn veröffentlichter Artikel zeigt jedoch, wie CVE-2021-42278 missbraucht werden kann, um Berechtigungen standardmäßig zuverlässig in jeder Domäne/jeder Gesamtstruktur und sogar in Gesamtstruktur-übergreifenden Vertrauensstellungen in bestimmten Konfigurationen zu erweitern.

Vor diesem Sicherheitsupdate war es nicht vorgeschrieben, dass das sAMAccountName-Attribut von Computer-/Dienstkonten mit einem Dollarzeichen ($) enden musste. Dadurch war es möglich, dass Konten mit einem Namen existierten, der mit Ausnahme des nachgestellten Dollarzeichens mit dem Namen von privilegierten Konten, wie z.B. Domain Controller, identisch war.

Charlie und Ceri fanden heraus, dass ein Angreifer ein Kerberos Ticket Granting Ticket (TGT) für ein Konto mit einem sAMAcountName, der mit dem eines Domänencontrollers identisch ist (ohne das nachgestellte Dollarzeichen), anfordern und dann das Attribut sAMAccountName dieses Kontos ändern konnte. Das TGT des Angreifers wäre trotz der Änderung des sAMAccountName-Attributs des Kontos weiterhin gültig.

Nun könnte der Angreifer die Kerberos-Erweiterung S4U2Self aufrufen, um ein Kerberos-Service-Ticket für einen beliebigen Benutzer, einschließlich privilegierter Benutzer, wie z.B. Mitglieder der Gruppe Domain Admins, für den mit dem TGT des Angreifers verbundenen Dienst zu erhalten. Der Domänencontroller würde versuchen, das Ticket für einen Dienst auszustellen, der mit dem Kontonamen auf dem TGT ohne das Dollarzeichen verbunden ist. Wenn der Domänencontroller dieses Konto nicht finden kann, weil sich sein Attribut sAMAccountName geändert hat, würde er nach einem Dienst suchen, der mit dem Namen auf dem TGT mit einem nachgestellten Dollarzeichen verbunden ist, und das Konto des Domänencontrollers finden. Infolgedessen würde der Domänencontroller zuverlässig ein Ticket für den privilegierten Benutzer an den Domänencontroller ausstellen und es an den Angreifer senden.

Obwohl bei diesem Angriff eine Funktion der Kerberos-Erweiterung für eingeschränkte Delegation missbraucht wird (S4U2Self), würde das Hinzufügen aller privilegierten Konten zur Gruppe "Geschützte Benutzer" oder das Einstellen dieser Konten als sensibel für die Delegation das Risiko nicht mindern, da diese Sicherheitskontrollen nur S4U2Proxy betreffen.

Dieser Angriff erfordert zwar Schreibrechte für das sAMAccountName-Attribut eines Kontos, das über mindestens einen Service Principal Name (SPN) verfügt, aber standardmäßig können alle authentifizierten Benutzer bis zu zehn neue Computerkonten in der Domäne erstellen, so dass sie "ihr eigenes Computerkonto mitbringen" und diese Schwachstelle ausnutzen können.

Beachten Sie, dass die Gruppe „Authentifizierte Benutzer“ auch fremde Benutzer aus anderen Gesamtstrukturen mit einer entsprechenden Vertrauensbeziehung umfasst. Daher können Angreifer – bei der Standardkonfiguration – ein Computerkonto in einer vertrauenswürdigen Gesamtstruktur erstellen und den Angriff auch in dieser Gesamtstruktur ausführen, wodurch eine weitere Sicherheitsgrenze überschritten wird.

Wie man CVE-2021-42278 und CVE-2021-42287 entschärft

Um Angriffe zu verhindern, die CVE-2021-42278 und CVE-2021-42287 ausnutzen, empfehle ich drei Maßnahmen:

  1. Installieren Sie sofort die Patches(CVE-42287 und CVE-422278)
  2. Ändern Sie den Wert des Attributs MSDS-MachineAccountQuota auf Null
  3. Wenden Sie das Prinzip des geringsten Privilegs auf die Zuweisung von Benutzerrechten mit der Bezeichnung "Arbeitsstationen zur Domäne hinzufügen" an (SeMachineAccountPrivilege)

Dieser Aktionsplan wird dazu beitragen, die unbefugte Erstellung von Computerkonten zu verhindern und die Hürde für die Ausführung dieses Angriffs sowie verschiedener anderer Angriffe, die ein Computerkonto oder ein Konto mit einem SPN erfordern, zu erhöhen.