Anzeige

Cyber Security

Microsoft hatte an einem der letzten Patch Tuesday die Schwachstelle CVE-2021-31958 gepatcht, die zuvor von den Sicherheitsforschern von Armis entdeckt wurde.

Diese Sicherheitsanfälligkeit ermöglichte es einem Angreifer, die NTLM (NT LAN Manager)-Authentifizierung des Windows Event Viewer Service (WEVS) weiterzuleiten und eine privilegierte Session mit dem Ereignisanzeige-Dienst per Fernzugriff zu öffnen. Mit dieser Sitzung kann ein Angreifer lokale Ereignisprotokolle eines Zielgeräts und Dateiinformations-Metadaten ausspähen, das Dateisystem überfluten sowie kritische Dateien überschreiben, was einen permanenten DoS verursacht.

Wie NTLM Relay-Attacken funktionieren

Die Authentifizierung zwischen zwei Windows-Geräten erfolgt standardmäßig über die NTLM-Authentifizierung. Ein Client verwendet seine Anmeldeinformationen, um sich beim Server zu authentifizieren und auf privilegierte Dienste zuzugreifen. NTLM Relay-Angriffe sind wie ein Man-in-the-Middle (MiTM)-Angriff auf den NTLM-Authentifizierungsprozess. Er ermöglicht es einem Angreifer, eine privilegierte Sitzung mit dem Server zu öffnen, ohne tatsächlich die erforderlichen Anmeldeinformationen zu erhalten.

Um diese Angriffe zu verhindern, erzwingen die meisten Windows-Dienste einen strengeren Authentifizierungsstandard. Dies geschieht, indem jedes Paket in der Sitzung authentifiziert wird. Das bedeutet wiederum, dass die Weiterleitung für jedes Paket erfolgen müsste. Damit wird einem Angreifer die Möglichkeit genommen, zu kontrollieren, wie die Anmeldeinformationen verwendet werden.

OT-Anwendungen gefährdet

Übertragen auf einen Anwendungsfall im OT-Bereich können diese Attacken besonders gefährlich werden. In dieser Art von Umgebung ist es üblich, dass IT-Benutzer Remote-Desktop-Verbindungen verwenden, um technische Workstations zu verwalten. Die Einrichtung einer MiTM-Attacke auf einer solchen Verbindung kann es einem Angreifer ermöglichen, einen NTLM-Authentifizierungsprozess abzufangen und für den Zugriff auf den Event Viewer Service zu missbrauchen.

„Der Angreifer baut dann eine MiTM-Position zwischen einem Techniker und einer Engineering-Workstation auf, indem er die IP der Engineering-Workstation per ARP-Spoofing verfälscht und die RDP-Verbindung eines Technikers abfängt. Der Techniker initiiert eine RDP-Verbindung zur Engineering-Workstation und eine NTLM-Authentifizierungsanfrage wird vom Angreifer abgefangen. Dieser leitet die Anforderung an die Engineering-Workstation weiter, die eine NTLM-Challenge generiert, die vom PC des Technikers gelöst und an die Engineering-Workstation zurückgegeben wird. Nach erfolgreicher Weiterleitung der NTLM-Authentifizierung öffnet der Angreifer eine Event Viewer-Sitzung mit der Engineering-Workstation und überschreibt kritische Dateien, was zum DoS führt“, erklärt Marko Kirschner, Senior Director Solutions Architecture bei Armis.

Ein NTLM-Angriff könnte sich als fatal für den kontinuierlichen Workflow in einer OT-Umgebung erweisen. Engineering-Workstations in diesen Umgebungen enthalten kritische Datenbanken, die normalerweise nicht automatisch gesichert werden.

Fazit

In OT- und Healthcare-Umgebungen und in vielen weiteren Anwendungen kommen ungepatchte Windows-Geräte häufig vor. Die Armis-Plattform überwacht die Verwendung von RPC-Verbindungen sowie die verwendete Authentifizierungsstufe und kann Benutzer warnen, wenn eine unzureichende Authentifizierungsstufe verwendet wird. Darüber hinaus können auch ARP-Spoofing und andere MiTM-Angriffe erkannt werden, die NTLM-Relay-Angriffe erleichtern können.

www.armis.com/


Artikel zu diesem Thema

Multi-Faktor-Authentifizierung
Jun 29, 2021

Was passwortlose Multi-Faktor-Authentifizierung Unternehmen bringt

In unserem Alltag nutzen wir eine Menge an digitalen Anwendungen, um zu kommunizieren, zu…
Hacker
Jun 24, 2021

Staatliche Akteure oder Cyberkriminelle: Die Grenzen verschwimmen

Ob Hacker, die von Regierungen unterstützt werden oder finanziell motivierte…

Weitere Artikel

Cybersecurity

Nahezu alle Unternehmen sind IT-Risiken ausgesetzt

SolarWinds, Anbieter von IT-Management-Software, präsentiert die Ergebnisse seines achten jährlichen IT-Trends-Reports. Der Report untersucht, wie Technikexperten das Risikomanagement und den Stand der Vorbereitungen zur Risikominderung in ihrem Unternehmen…
Schwachstelle

14 neue Sicherheitsschwachstellen in NicheStack gefunden

JFrog Security Research (ehemals Vdoo) und Forescout Research Labs haben im NicheStack insgesamt 14 Schwachstellen gefunden und offengelegt.

Cyberkriminalität nimmt zu – das Angebot und die Komplexität der Sicherheitsprodukte auch

Bei dem derzeitigen Boom von eHealth-Apps werden Bedenken rund um die Themen Sicherheit und Datenschutz immer lauter. Gerade bei Gesundheits-Apps, die über bestimmte Krankheiten informieren, Unterstützung bieten oder die Kommunikationsschnittstelle zwischen…
Cyberversicherung

Cyberangriffe mittels DDoS-Attacken gefährden Unternehmen

In Zeiten vor Corona waren die Schlagzeilen über Hackerangriffe in der Regel von Ransomware-Attacken gefüllt. In der öffentlichen Wahrnehmung galt die Verschlüsselung von Daten lange als die zentrale Waffe von Cyberkriminellen. In jüngster Vergangenheit…
Cyber Security

Extended Detection and Response - Wunsch und Wirklichkeit

Warum XDR und warum jetzt? Es gibt mittlerweile derart viele Sicherheitstools, dass selbst Experten kaum noch in der Lage sind, sie zu überblicken und zu verwalten.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.