Thought Leadership
Was uns als Menschen verbindet, sind oft nicht nur gemeinsame Interessen, sondern auch Dinge, die wir aus tiefstem Herzen hassen. Passwörter fallen zweifellos in letztere Kategorie, ebenso wie biometrische Scanner, die mehr schlecht als recht funktionieren, oder lästige Token für die Zwei-Faktor-Authentifizierung. Dabei ist eines sicher: Auch Cyber-Kriminelle hassen diese Dinge – vielleicht sogar noch mehr als wir selbst. Der Bug-Report von Trellix aus dem Mai, wirft einen Blick auf schlecht aufgesetzte Authentifizierungstechnologien.
Zu den größten Bugs des Monats Mai zählen:
- CVE-2022-1388: F5 BIG-IP Authentication Bypass
- CVE-2022-22972: VMware Authentication Bypass
- CVE-2022-26925: Windows LSA Spoofing
CVE-2022-1388: Irgend jemand wird die ID schon geprüft haben …
Worum handelt es sich?
Der Zugriff auf die Root-Shell (Bash) eines Edge-Geräts ist keine kleine Sache. Wie sich jetzt zeigt, hat die als Loadbalancer, Anwendungs-Firewall und Proxy dienende BIG-IP-Appliance von F5 ein Authentifizierungs-Bypass-Problem, das Angreifern die Remote-Codeausführung über die iControl-REST-API ermöglicht. Neben dem HTTP-Anforderungs-Header müssen hierfür auch die Werte des X-F5-Auth-Tokens manipuliert werden. Die Schwachstelle existiert, weil nicht klar festgelegt ist, welche Anwendung eine Anforderung auf ihre Berechtigung zu überprüfen hat. Das Frontend (Apache) setzt voraus, dass sein Backend-Partner (Jetty) für die Authentifizierung einer Anforderung zuständig ist, die ein X-F5-Auth-Token enthält. Durch die Verwendung eines Verbindungs-Headers kann ein Angreifer erzwingen, dass das Token entfernt wird, bevor es das Backend erreicht. Da das Token nicht mehr existiert, geht das Backend davon aus, dass die Authentifizierung bereits im Frontend erledigt wurde, und lässt die Anforderung passieren. Die Vorgehensweise erinnert an einen Zechpreller, der dem Kellner sagt, dass er bei der netten Kollegin bereits bezahlt hat, und sich dann schleunigst davonmacht.
Damit nicht genug, ist auch die Bash-Shell über diese Web-API zugänglich. Und ja, Sie lesen richtig: die BASH ist über eine Web-Schnittstelle zugänglich. Wenn also die Authentifizierung erfolgreich umgangen wird, können Bash-Befehle direkt als root an das System geschickt werden. Das Resultat dieser Manipulation ist eine nicht authentifizierte Remote-Ausführung von Code.
Wer ist betroffen?
Die aktive Ausnutzung durch böswillige Akteure, die versuchen, F5 BIG-IP-Geräte zu löschen, zeigt, dass die Schwachstelle durchaus interessant ist. Wenn Ihre Organisation eine der wenigen Versionen von 11.x bis 17.x (einschließlich) installiert hat, sollten auch Sie sich dafür interessieren. Als Einfallstor für den Angriff dient der Management-Port. Obwohl dies bei Internet-Deployments nicht empfohlen wird, werden Tausende von Geräten laut Shodan immer noch extern konfiguriert.
Was kann ich tun?
Zunächst einmal sollten Sie sicherstellen, dass die iControl-REST-API nicht von außen zugänglich ist. Zusätzlich empfiehlt F5,den API-Zugriff auf die IP-Adressen vertrauenswürdiger Netzwerke, User und Geräte zu beschränken. Auch Änderungen an der httpd-Konfigurationsdatei des betreffenden Geräts können die Schwachstelle beheben. Einen Versuch wert wäre auch die völlig neuartige Idee, den Code anzuwenden, den der Hersteller explizit zur Lösung des Problems bereitstellt – auch als Patch bekannt.
CVE-2022-22972: Endpunkt-Management ohne Passwörter!
Worum handelt es sich?
Am 18. Mai meldete VMware ein Authentifizierungs-Bypass-Problem, das Angreifern mit Netzwerkzugang den administrativen Zugriff auf bestimmte Plattformen für das Automatisierungs- und Identitäts-Management ermöglicht. Das Angriffsschema nutzt eine Modifizierung des Host-Header-Felds in einer HTTP-POST-Anforderung von der Adresse des VMware-Authentifizierungsendpunkts an die Adresse einer durch den Angreifer kontrollierten Maschine. Dies führt nicht nur dazu, dass die VMware-Anwendung die Zugangsdaten an die fremdgesteuerte Maschine sendet – der Angreifer kann sogar selbst bestimmen, dass die Zugangsdaten gültig sind! Wenn der von ihm kontrollierte Host also einen Status-Code 200 – Status OK zurückgibt, ist der Nutzer erfolgreich authentifiziert. Das Ganze läuft ungefähr so, als würden Sie mit sich selbst aushandeln, ob Sie eine Gehaltserhöhung verdient haben.
Wer ist betroffen?
Fünf VMware-Produkte sind gefährdet:
- VMware Workspace ONE Access (Access)
- VMware Identity Manager (vIDM)
- VMware vRealize Automation (vRA)
- VMware Cloud Foundation
- vRealize Suite Lifecycle Manager
Obwohl derzeit noch keine Angriffsversuche bekannt sind, hat die CISA eine entsprechende Warnung herausgegeben. Darin skizziert sie, wie böswillige Akteure die Schwachstelle im Zuge einer größer angelegten Kampagne ausnutzen könnten, die letztlich zur vollständigen Übernahme von VMware-Systemen führen könnte. Die Hacker müssten sich noch nicht einmal besonders anstrengen, denn Exploit-Code für das Problem wurde kürzlich auf GitHub veröffentlicht. Da VMware einer der größten Anbieter im Bereich des Unified Endpoint Management ist, sind sehr viele Organisationen betroffen.
Was kann ich tun?
VMware hat einen Patch veröffentlicht, dessen Installation dringend empfohlen wird – wie Patches generell das Mittel der Wahl gegen Sicherheitslücken sind. Falls Sie Ihr System nicht patchen können, stellt VMware auch produktspezifische Workarounds bereit.
CVE-2022-26925: EFS oder das immerwährende Geschenk
Worum handelt es sich?
Um diese Story wirklich zu verstehen, müssen wir ein Jahr zurückgehen. Im Juli 2021 deckte der Sicherheitsforscher Topotam eine Schwachstelle auf, die unter der Bezeichnung PetitPotam bekannt wurde. Dabei handelt es sich um eine NTLM-Relay-Attacke, die unbefugten Nutzern in einem Netzwerk die vollständige Kontrolle über eine Windows-Domain verschafft. Als Einfallstor dienen dabei Bugs im remote verschlüsselten Dateisystemprotokoll bzw. der MS-EFSRPC-API. Obwohl die Sicherheitslücke angeblich schon mit dem Patch-Release vom August 2021 geschlossen wurde, wird CVE-2022-26925 durch ungepatchte Angriffsvektoren ermöglicht, die dieses Mal auf die EFS-API OpenEncryptedFileRaw(A/W) abzielen. Betroffene Organisationen müssen damit rechnen, dass sämtliche Domain-Admins von Hackern gekapert werden.
Wer ist betroffen?
Obwohl CVE-2022-26925 wohl nicht mit einer Verbindung nach draußen einhergeht, dürfte das für Cyber-Kriminelle kein Hindernis sein. Tatsächlich wird die Schwachstelle in freier Wildbahn schon aktiv ausgenutzt, wie Microsoft meldet. Wenn das weitere Angriffsmuster dem von PetitPotam entspricht, dürften Ransomware-Familien wie LockFile auch die Version 2.0 nur allzu bald ins Visier nehmen. Wie gut, dass Sie Ihre gesamte Organisation schon letzten Monat auf Linux- und Apple-Produkte umgestellt haben, denn sonst müssten Sie sich ernsthafte Sorgen machen!
Was kann ich tun?
Als ersten Schritt sollten Sie eine Rundmail an möglichst viele Empfänger versenden, in der Sie fragen: „Warum verwenden wir immer noch ein fast 30 Jahre altes Sicherheitsprotokoll mit vielen bekannten Problemstellen, wenn es den Ersatz dafür, Kerberos, schon seit fast 20 Jahren gibt?“ Diese E-Mail dürfte eine lebhafte Debatte und eine wahre Mail-Flut von Antworten aller an alle auslösen, sodass sich jeder User noch vor der Mittagspause über eine vollgelaufene Mailbox freuen kann. Danach kann die eigentliche Arbeit beginnen. Installieren Sie unbedingt das neueste von Microsoft veröffentlichte Patch, und lesen Sie darüber hinaus den Microsoft-Leitfaden zur Verhinderung von künftigen NTLM-Relay-Attacken.
Autor: Douglas McKee, Principal Engineer & Director of Vulnerability Research, Trellix
