NTLM-Replay-Attacke auf Active Directory Certificate Services

Das Ausnutzen der Legacy-Authentisierung NTLM in Kombination mit ADCS ermöglicht Angriffe auf die Domäne.

Microsoft publizierte am 23.07.2021 das Advisory ADV210003. In diesem wird auf eine Lücke hingewiesen, welche mittels einer mittlerweile recht alten Technik «PetitPotam», eine NTLM Replay-Attacke auf die Active Directory Certificate Servces (ADCS) ausführt.

Um die Attacke auszuführen muss ein Angreifer einen Domain Controller erreichen können. Gegenüber diesem tritt er als NTLM-Relay auf und bringt den DC dazu sich ihm gegenüber zu authentisieren. Die Anfrage leitet er dann an die Webservices von ADCS weiter. Am Ende des Angriffs erhält der Angreifer ein TGT, welches eine beliebige Identität im Netzwerks repräsentieren kann.

Betroffen sind die Active Directory Certification Services von Windows Server ab 2008 bis Dato (2019 resp. 20H2) auf Basis von NTLM.

Es handelt sich weniger um eine konkrete Lücke, sondern mehr um das Ausnutzen einer schwachen (Legacy-) Authentisierungstechnologie. Microsoft zeigt eine Mitigation zu auf, wird voraussichtlich aber keinen Patch dafür bereitstellen. Die Lücke kann über mehrere Möglichkeiten geschlossen werden, wie der zugehörige KB5005413 beschreibt:

  • Best Option: Das Deaktivieren von NTLM im Unternehmensnetzwerk, was das Problem an der Quelle löst resp. die Ursache beseitigt.
  • Das Deaktivieren von (Link zur Quelle)
    • Der NTLM-Authentisierung am OS/Systeme, auf welchem ADCS läuft. Dadurch nimmt das System den Replay nicht an. Dazu kann eine GPO erstellt werden, welche die Sicherheitseinstellungen auf dem System konkret für die ADCS-Instanz (Computer) deaktiviert. Alternative kann dies auch mit einer lokalen Sicherheitsrichtlinie gesteuert werden (MMC > Group Policy Object Editor > Lokale Sicherheits Richtlinie).
    • Das Deaktivieren der NTLM-Authentisierung im Webserver, welcher ADCS anbietet. Die NTLM-Funktion wäre dann im Netzwerk resp. am Server noch vorhanden und ist nur auf dem verwundbaren Webservice geschlossen. Dies erfolgt im IIS der ADCS CEP/CES Instanz unter den "Authentisierungs-Methoden" der zugehörigen Website (siehe Link oben).

Gegenmassnahmen

  • Wir empfehlen im Mindesten, die beiden Schritte der Alternative (NTLM in den Systemeinstellungen wie auf dem Webservice deaktivieren) auszuführen. Details dazu sind im genannten KB5005413 zu finden.
  • Weiter wird empfohlen, das zwingende SMB-Signing zu aktivieren, was in den meisten Unternehmensnetzwerken nicht zu Problemen führen dürfte. Ausnahmen könnten in Umgebungen mit sehr alten Infrastruktur-Bestandteilen und/oder nicht an die Domäne angebundenen Joined-Systemen auftreten.
  • Wem dies möglich ist, sollte auf NTLM verzichten. Es liegt nahe, dass dieselbe Schwachstelle auch gegen einen anderen Dienst verwendet werden kann. Wem dies möglich ist, sollte auf NTLM verzichten um das Problem an der Ursache zu beseitigen. Details zu sind hier zu finden.

Wie immer sind die vorgeschlagenen Änderungen durch vorherige Tests/Abklärungen zu verifizieren. Wir empfehlen eine Anpassung ausserhalb der Betriebszeiten.

Portrait Jonas Stalder

Autor dieses Beitrags: Jonas Stalder

Seit 2015 arbeite ich wieder als System Engineer für die Leuchter IT Solutions AG. Bereits von 2008 bis 2013 war ich für Leuchter tätig. Meine Kompetenzen liegen im Bereich Netzwerk und IT Security. In meiner Freizeit bin ich leidenschaftlicher Gleitschirmpilot, bin im Sommer gelegentlich auf dem Motorrad anzutreffen, seltener mal auch in einem Dojo auf der Matte.