Kerberos in Windows-netwerken aangeschoten wild
Het authenticatiesysteem Kerberos bevat in de Windows-implementatie een fundamentele fout. Zonder aanvullende maatregel zou dat niet zo gebruikt moeten worden.
© Pixabay CC:0
Pixabay CC:0
Dat concludeert beveiligingsonderzoeker @dfirblog na een uitgebreide evaluatie. Zelf noem hij het een 'verwoestende fout' in het authenticatiemechanisme dat standaard bij Windows-netwerkimplementaties wordt meegeleverd
Het probleem ontstaat door de manier waarop geheime sleutels worden aangemaakt en bewaard. Doordat de geheime sleutels worden gegenereerd met een in onbruik geraakt wachtwoord dat door zijn karakter zelden wijzigt, vormt dat een aangrijpingspunt voor een aanvaller. En doordat wachtwoorden in het geheugen worden bewaard, zijn ze ook te benaderen.
@dfirblog heeft de manier van kraken gedocumenteerd in een uitgebreid blog. Volgens hem is er geen effectieve tegenmaatregel tegen zijn hack. Wel kunnen organisaties die op Kerberos vertrouwen, het potentiële hackers lastiger maken met Protected User-groepen en Microsofts Credential Guard, dat voorkomt dat de sleutels in het geheugen worden opgeslagen.
Microsoft heeft nog niet gereageerd op de melding van @dfirblog. Maar gezien het feit dat er nu een potentieel aanvalsscenario op internet gepubliceerd is, lijkt het voor beheerders van Windows-nertwerken op zijn minst zaak de melding van @dfirblog te evalueren en zo nodig maatregelen te nemen.
Gerelateerde artikelen
Gerelateerde artikelen
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee