vege - Fotolia

So lassen sich Kerberos-Schwachstellen schließen

Die Microsoft-Implementierung des Kerberos-Protokolls hat eine potientielle Schwachstelle. So lässt sich der Dienst härten.

Das Kerberos-Protokoll wurde in den Achtzigern vom MIT für das Projekt Athena entwickelt und ist seitdem eine der am meisten verwendeten Authentifizierungsmethoden. Es handelt sich um ein Authentifizierungsprotokoll für Netzwerke, das mithilfe von Tickets arbeitet. Der Vorteil dabei ist, dass sich Dienste und Nutzer so auch über unsichere Netzwerke ihre Identität gegenseitig auf eine sichere Art verifizieren können. Microsoft hat das Protokoll bereits früh adaptiert und eine proprietäre Version als das empfohlene Authentifizierungsprotokoll in Windows 2000 und Active-Directory-Domänen integriert.

Der Prozess läuft wie folgt ab: Clients erhalten ein Ticket vom Kerberos Key Distribution Center (KDC) und zeigen dieses bei einem Dienst oder einem Server vor, auf den sie zugreifen möchten. Da dieses Ticket die Netzwerkzugangsdaten eines Nutzers repräsentiert, ist es für Angreifer von enormen Interesse. Daher werden die Tickets nicht im Klartext übertragen, sondern mit Hilfe eines symmetrischen Keys verschlüsselt. Dieser Key generiert sich aus dem Passwort des Dienstes oder Servers, auf den man zugreifen will.

Um ein solches Ticket zu erhalten, muss zunächst ein spezielles Ticket, das sogenannte Ticket Granting Ticket (TGT) vom Kerberos-Dienst erfragt werden. Dieses TGT wird mit einem Key gesichert, der auf dem Passwort des krbtgt-Accounts basiert. Dieser Account ist nur dem Kerberos-Dienst benannt. Das Problem: In der Microsoft-Implementierung gibt es eine alte Schwachstelle, die kürzlich durch einen Beitrag auf DIFR-Blog wieder mehr Aufmerksamkeit erhielt. Angreifer können damit den geheimen Key erhalten und so die Authentifizierung umgehen. Im schlimmsten Fall kann sich ein Angreifer sogar ein sogenanntes „Goldenes Ticket“ erstellen und sich selbst volle Administrator-Rechte einräumen.

Das Problem entsteht dadurch, dass die Microsoft-Version von Kerberos den geheimen Key mithilfe des krbtgt-Account-Kennworts erstellt. Dieses wird von der KDC für die Verschlüsselung und die Signierung des TGT genutzt. Das Problem: Dieser Nutzer-Account ist normalerweise deaktiviert und wird nicht aktiv genutzt. Das bedeutet, dass das einmal erstellte Standardpasswort nur selten geändert wird. In der MIT-Implementierung von Kerberos wird dieses Passwort zufällig gewählt.

Kerberos-Sicherheit erhöhen

Microsoft hat bereits 2014 auf das Problem reagiert und einen Leitfaden namens Mitigating Pass-the-Hash (PtH) Attacks and Other Credential Theft, Version 1 and 2 veröffentlicht. Darin werden verschiedene Strategien diskutiert, mit denen sich Angriffe auf Zugangsdaten minimieren lassen. Administratoren sollten diesen Vorgaben folgen, um die gesamte Sicherheit von Kerberos zu verbessern. Es hilft bereits, wenn das Passwort des krbtgt-Accounts regelmäßig geändert wird. Microsoft hat ein Skript veröffentlicht, mit dem Administratoren das Kennwort des krbtgt-Accounts und alle zugehörigen Keys zurückgesetzt werden können. Zeitgleich werden mögliche Probleme bei der Authentifizierung via Kerberos minimiert.

Die Sicherheitsteams sollten privilegierten Accounts hohe Aufmerksamkeit schenken (siehe auch Privilegierte Benutzerkonten begrenzen und die Sicherheit erhöhen). Vor allem sollten Funktionen wie die Protected User Group und Credential Guard in Windows 10 genutzt werden. Tools zur Überwachung sollten auf diese Accounts angesetzt werden und gefundene Anomalien sofort melden. Kerberos selbst sollte auf einem gehärteten und gut geschützten Server laufen.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Artikel wurde zuletzt im Juni 2016 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Betriebssystemsicherheit

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close