Inszenierung von Sicherheitslücken: Das lange Warten auf Badlock

Mitglied: Frank

Frank (Level 5) - Jetzt verbinden

14.04.2016 um 08:19 Uhr, 799 Aufrufe, 2 Kommentare, 2 Danke

Mitglied: DerWoWusste
14.04.2016, aktualisiert um 09:27 Uhr
Moin.

Es ist doch ziemlich Wurst, ob das nun eine dramatische Lücke war, oder nicht. Wir leben mit dem Wissen, dass Microsoft Regierungen mit dem Wissen über Angreifbarkeit versorgt, damit diese das ausnutzen können - was will man noch mehr dazu sagen? Wer seine Systeme direkt mit dem Internet reden lässt, ist selber Schuld.
Und wen dann noch wirklich interessiert, worum es bei einem Exploit geht, hat allergrößte Mühe, die Details zu finden. Auch auf den Securityseiten sind die Beschreibungen schwammig bis zum Abwinken. Keiner, wirklich niemand scheint durchzublicken und oder willens, ein konkretes Beispiel für einen Angriffsablauf zu beschreiben.

Beispiel gefällig? Nehmen wir Badlock, hier die Windowssektion, nicht Samba. http://badlock.org/ betitelt
Badlock, a crucial security bug in Windows and Samba
Aha, in beidem. Weiter unten folgt dann:
Who is affected?
Affected versions of Samba are
...
von Windows keine Rede mehr. Äh...?
How can I fix my systems?
Please apply the patches provided by the Samba Team...
Auch in dieser Sektion keine Rede mehr vom Windowspatch. Klasse.

Schauen wir mal weiter auf http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0128
The SAM and LSAD protocol implementations in Microsoft Windows Vista SP2, Windows Server 2008 SP2 and R2 SP1, Windows 7 SP1, Windows 8.1, Windows Server 2012 Gold and R2, Windows RT 8.1, and Windows 10 Gold and 1511 do not properly establish an RPC channel, which allows man-in-the-middle attackers to perform protocol-downgrade attacks and impersonate users by modifying the client-server data stream, aka "Windows SAM and LSAD Downgrade Vulnerability" or "BADLOCK."
Aha, Impersonation also. Und wer ist wann wie betroffen? Schauen wir auf den verlinkten https://technet.microsoft.com/en-us/library/security/ms16-047.aspx
My application or product uses the SMB protocol, does this issue affect me?
No. Only applications and products that use the SAM or LSAD remote protocols are affected by this issue. The SMB protocol is not vulnerable.
Gut. Weiter zum verlinkten https://support.microsoft.com/en-us/kb/3148527
An elevation of privilege vulnerability exists in the Security Account Manager (SAM) and Local Security Authority (Domain Policy) (LSAD) remote protocols when they accept authentication levels that do not protect these protocols adequately. The vulnerability is caused by the way the SAM and LSAD remote protocols establish the Remote Procedure Call (RPC) channel. An attacker who successfully exploited this vulnerability could gain access to the SAM database
Oho. Der Angreifer kann von remote an die SAM ran? Also auch an die des Domänencontrollers und dann... alle Konten benutzen? Aber der Threat level ist dennoch nicht critical sondern nur "important"?
Dritte schreiben dann (z.B. http://www.theregister.co.uk/2016/04/12/badlock_bug_windows_samba/ )
In fact, it would be extremely difficult for cybercriminals to exploit the Badlock vulnerability. The attacker would need to be already inside the network and past any security mechanisms. He must be in a place in which he can sniff and intercept the traffic and would need administrative credentials to access resources required for network interception from inside the network.
OK, ein Mitarbeiter könnte also jederzeit rumsniffen, er braucht nur lokale Adminrechte und kann dann einen Domänencontroller hops nehmen? Oder nicht? Welche "resources required for network interception" wären das, Switches? BITTE GENAUER, Microsoft und Co. KG.

Sicherheitsadvisories und damit verbundene Artikel sind meist einfach nur noch Theater. Grausam.
Wozu das führt ist Verblendung, Gleichgültigkeit und Unaufmerksamkeit bei den Admins.

Kleiner Test eben zum Thema Gleichgültigkeit und Unaufmerksamkeit:
Frage (ganz ernst gemeint): wer hier gibt zu, nicht zu wissen, dass bei einem Patch aus 2015 manuelle Nacharbeit nötig war, um die Domänensicherheit zu gewährleisten?

[Ich werde die Auflösung noch nennen]
Bitte warten ..
Mitglied: DerWoWusste
14.04.2016 um 18:56 Uhr
So, für alle, die's abonniert haben sollten und noch eine Lösung erwarten:
https://blogs.technet.microsoft.com/askpfeplat/2015/02/22/guidance-on-de ...
Bitte warten ..
Heiß diskutierte Inhalte
Off Topic
Ein Weg weg von Microsoft. Wie würde man es angehen? Lasst uns doch etwas spinnen
it-fraggleVor 1 TagAllgemeinOff Topic50 Kommentare

Guten Morgen Kollegen, es treibt mich schon seit einigen Jahren um, dass es sinnvoll wäre langsam einen Weg weg von Microsoftprodukten zu finden. Mir ...

Server-Hardware
HPE ProLiant MicroServer Gen10 Plus - Wo wird das OS installiert?
mayho33Vor 1 TagFrageServer-Hardware13 Kommentare

Hallo @ All, Ich liebäugle mit einem neuem Server (siehe Überschrift). Mein alter Gen8 ist zwar immer noch am laufen, aber es gibt einiges ...

Hardware
Versorgungsengpass Chips
NebellichtVor 1 TagAllgemeinHardware13 Kommentare

Allg. frage ich mich ja warum Apple auf ARM frühzeitig gesetzt hat. Die Automobilindustrie gerade Absatzprobleme hat, weil keine Chips mehr geliefert werden können. ...

Windows Server
Server 2019 RDS-CALs für Domänen-Admins? Ernsthaft?
gelöst anteNopeVor 1 TagFrageWindows Server7 Kommentare

Nabend zusammen, ich habe hier heute einen RDS auf Basis eines Server 2019 STD installiert und mit User-CALs lizenziert. Soweit funktioniert auch alles. Nur ...

LAN, WAN, Wireless
100m GBit-Richtfunk im Freien - Produktempfehlungen?
mstrd308Vor 1 TagFrageLAN, WAN, Wireless9 Kommentare

Hallo zusammen, ich bin auf der Suche nach Produktempfehlungen um einen Richtfunk von einem Gebäude zu einen weiteren zu realisieren. Die Peripherie soll draußen ...

Exchange Server
Transparente Mail-Archivierung Exch. 2016 m. direktem Outlook-Zugriff
departure69Vor 1 TagFrageExchange Server17 Kommentare

Hallo. - Windows 2016 AD-Domäne, 2 DCs unter W2K16 Std. (1 x physisch, 1 x virtuell unter Hyper-V), Funktionsebene 2016 - Exchange 2016 unter ...

Festplatten, SSD, Raid
Wie würdet ihr eine Datenrettung machen?
pd.edvVor 15 StundenFrageFestplatten, SSD, Raid8 Kommentare

Hallo, ich arbeite gerade an einem Blog-Artikel zum Thema Datenrettung und würde mich brennend interessieren wie Ihr eine Datenrettung angehen würdet. Sagen wir mal ...

Multimedia
PDF Dokumente KOSTENLOS ausfüllen, wie?
Mrhallo19981Vor 1 TagFrageMultimedia12 Kommentare

Hallo, ich möchte PDF Dokumente kostenlos ausfüllen. Anschließend sollen diese Signiert werden. Signieren tu ich mit einem Zertifikat von Adobe. Deswegen ist es wichtig, ...