Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Ein weiterer Microsoft-Stirnklatscher

Mitglied: DerWoWusste

DerWoWusste (Level 5) - Jetzt verbinden

14.01.2019, aktualisiert 19:35 Uhr, 1524 Aufrufe, 11 Kommentare, 3 Danke

Habe gerade einen Artikel zu einem Sicherheitsproblem gefunden, welches mir zu seiner Zeit (gepatcht 2015) wohl durchgerutscht ist.
Es ist dennoch so spektakulär, dass ich es noch einmal verlinken möchte.

Stellt Euch vor, ihr habt einen verschlüsselten Laptop ohne preboot authentication, der zu einer Domäne gehört. Windows bootet also bis zum Windows-Logon. Wie folgender Artikel darstellt, konnte man mit geringem Aufwand in den Rechner einbrechen, ohne überhaupt eine Cold-boot- oder DMA-Attacke zu nutzen. Man installierte einfach einen DC in einer VM, gab ihm die gleiche IP, wie der Unternehmens-DC (diese Infos würden Insidern vorliegen) und los geht's.

Man sollte annehmen, dass dieser Fake-DC nicht ausreicht, um sich anzumelden. Tut er auch nicht. Leider reichte er aus, um das Kennwort zu wechseln und sich dann offline anzumelden.
Bittere Sache. Man sollte nicht glauben, dass die Architektur seiner Zeit so undurchdacht war.

https://www.computerworld.com/article/3005184/encryption/bitlocker-encry ...
Mitglied: Dani
14.01.2019, aktualisiert um 20:07 Uhr
Guten Abend @DerWoWusste,
interessanter Ansatz... und scheint sich durch alle Produkte zu ziehen.

Leider sind die KB-Nummern bzw. Links im MS15-122 security bulletin nicht mehr aktuell. Zum Beispiel wird für Windows 7 der KB3101246 angeben. Das Update wurde inzwischen durch KB3126587 ersetzt. Das zieht sich wie ein roter Faden durch den Artikel. Daher haben viele das Update unbewusst schon installiert.

Man installierte einfach einen DC in einer VM, gab ihm die gleiche IP, wie der Unternehmens-DC (diese Infos würden Insidern vorliegen) und los geht's.
Hmm... aber ohne die vertrauenswürdige/gesicherte Kommunkation der Arbeitsstation mit dem Domain Controller werden solche Infos nicht ausgetauscht, oder?


Gruß,
Dani
Bitte warten ..
Mitglied: DerWoWusste
14.01.2019 um 23:11 Uhr
Hmm... aber ohne die vertrauenswürdige/gesicherte Kommunkation der Arbeitsstation mit dem Domain Controller werden solche Infos nicht ausgetauscht, oder?
Ja, doch, darum schreibe ich das doch gerade. Da hat jemand haarsträubende Design-Mängel (keine Bugs) aufgedeckt, die das Update behoben hat.

Das Update haben natürlich schon alle installiert, die automatisch patchen - da mache ich mir keine Sorge. Ich habe mich bloß gewundert, wie MS es mal wieder geschafft hat, dass das nicht an die große Glocke gehängt wurde.
Bitte warten ..
Mitglied: emeriks
15.01.2019 um 07:38 Uhr
Hi DWW,
interessant zu wissen!
Was ich aber nicht ganz nachvollziehen kann: Die Aufforderung zum Ändern des Passworts kommt doch erst, nachdem man sich mit dem alten angemeldet hat. Wenn man das alte Passwort kennt, dann braucht man doch dieses Konstrukt nicht, um an die Daten des Laptops zu kommen?

E.
Bitte warten ..
Mitglied: DerWoWusste
15.01.2019 um 08:33 Uhr
Moin.

Die Aufforderung zum Ändern des Passworts kommt doch erst, nachdem man sich mit dem alten angemeldet hat.
Nein, eben nicht. Ist das alte abgelaufen, wird nicht einmal geschaut, ob die Eingabe korrekt ist.
Bitte warten ..
Mitglied: emeriks
15.01.2019 um 08:35 Uhr
Zitat von DerWoWusste:
Nein, eben nicht. Ist das alte abgelaufen, wird nicht einmal geschaut, ob die Eingabe korrekt ist.
Das ist krass!
Bitte warten ..
Mitglied: Dani
15.01.2019 um 20:30 Uhr
Moin,
Ja, doch, darum schreibe ich das doch gerade. Da hat jemand haarsträubende Design-Mängel (keine Bugs) aufgedeckt, die das Update behoben hat.
ich hab's heute Nachmittag auf die Schnelle ohne die notwendigen Updates nicht hinbekommen. Kannst du einmal beschreiben wie du vorgegangen bist?!


Gruß,
Dani
Bitte warten ..
Mitglied: DerWoWusste
15.01.2019, aktualisiert um 22:56 Uhr
Es ist genau wie dort beschrieben ist:

(Habe hier zum Test einen 2008 DC und ein Win7 genommen, beides ohne jegliche Updates)

Win7 zur echten Domäne hinzufügen und einmal mit einem Domänenuser ("Test") anmelden. Nun muss man den Win7 vom eigentlichen, echten Netzwerk isolieren, und einen Fake-DC aufsetzen (selber Domänen-Name und Servername, selbe IP wie der Echte) , auf dem ebenso ein User "Test" mit einem x-beliebigen Kennwort abc123 angelegt und sein Kennwort sogleich auf abgelaufen gesetzt wird, dazu "Benutzer muss Kennwort bei der nächsten Anmeldung ändern" anhaken. Nun bringen wir den Fake-DC und Win7 in ein Netz und versuchen uns als Test mit abc123 an Win7 anzumelden. Win7 sagt "Kennwort ist abgelaufen und muss geändert werden", worauf wir das Kennwort auf xyz123 ändern und danach den Fake-DC einfach ausschalten oder ihn vom Netz nehmen. Schon können wir uns auf Win7 mit xyz123 anmelden, denn das gecachte Kennwort ist mittlerweile ja xyz123.
Bitte warten ..
Mitglied: DerWoWusste
17.01.2019 um 09:34 Uhr
Und, hat's nun auch bei Dir geklappt, Dani?

Das ist echt so bitter... das Problem bestand also von 2000-2015. Und das Schönste ist ja, dass niemand eine solche Attacke bemerkt, denn der legitime Nutzer kommt auch danach noch mit seinem Kennwort problemlos rein. Das klingt fast nach Sollbruchstelle.
Bitte warten ..
Mitglied: UweGri
17.01.2019 um 23:35 Uhr
Die Sache ist mir bekannt. Ist unserer schnellen Zeit geschuldet. Eine preboot Sicherung ermöglicht keine Fernwartung mehr. Hier wird nix ohne eine derartige Sicherung betrieben. Uwe
Bitte warten ..
Mitglied: Dani
18.01.2019 um 10:20 Uhr
Moin @DerWoWusste,
Und, hat's nun auch bei Dir geklappt, Dani?
ich habe leider aktuell keine Zeit es nochmals zu versuchen.
Hab grad Handwerker zu Hause und die machen was sie wollen.


Gruß,
Dani
Bitte warten ..
Mitglied: Dani
29.01.2019 um 21:01 Uhr
Moin,
Und, hat's nun auch bei Dir geklappt, Dani?
so endlich Zeit gehabt im Lab das Ganze nochmals zu versuchen.
Siehe da es funktioniert wie du es beschrieben hast.


Gruß,
Dani
Bitte warten ..
Ähnliche Inhalte
Microsoft
Microsoft Telefonaktivierungs App
Tipp von alik47Microsoft31 Kommentare

Hallo zusammen, ich möchte euch den MPActivator vorstellen. Es ist eine App mit der man die Telefonaktivierung speziell von ...

Humor (lol)
Mail von Microsoft (angeblich)
Information von StefanKittelHumor (lol)5 Kommentare

Moin, diese "Perle" habe ich eben erhalten: Übersetzt:

Microsoft

Microsoft verarztet 50 Sicherheitslücken

Tipp von HyruleMicrosoft

Microsoft verarztet mal wieder ein "paar" Sicherheitslücken in ihren Produkten: Und mal wieder Remote Code Execution und der abartige ...

Sicherheit

Microsoft und Skype: Sicherheit

Information von kgbornSicherheit

Die Tage gab es ja einige Berichte zur Sicherheit des Skype-Updaters. Der Updater von Skype läuft unter dem Konto ...

Neue Wissensbeiträge
Firewall
PfSense 2.5.0 benötigt doch kein AES-NI
Tipp von ChriBo vor 9 StundenFirewall

Hallo, Wie sich einige hier erinnern werden hat Jim Thompson in diesem Aritkel beschrieben, daß ab Version 2.5.0 ein ...

Internet
Copyright-Reform: Upload-Filter
Information von Frank vor 1 TagInternet

Hallo, viele Menschen reden aktuell von Upload-Filtern. Sie reden darüber, als wären es eine Selbstverständlichkeit, das Upload-Filter den Seitenbetreibern ...

Google Android

Blokada: Tracking und Werbung unter Android unterbinden

Information von AnkhMorpork vor 1 TagGoogle Android1 Kommentar

In Ergänzung zu meinem vorherigen Beitrag: Blokada efficiently blocks ads, tracking and malware. It saves your data plan, makes ...

Google Android
Facebooks unsichtbare Datensammlung
Information von AnkhMorpork vor 1 TagGoogle Android2 Kommentare

Rund 30 Prozent aller Apps im Play-Store nehmen Kontakt zu Facebook auf, sobald man sie startet. So erfährt der ...

Heiß diskutierte Inhalte
Linux Userverwaltung
LogIn Versuche beschränken auf EINEN Versuch
gelöst Frage von GarroshLinux Userverwaltung21 Kommentare

Folgendes Problem Ich habe einen dezidierten Server beim Hoster gemietet, installiert ist Ubuntu 18.04.2 LTS‬ und als Webinterface Plesk. ...

DSL, VDSL
Neuer Glasfaser Anschluss - IPv4-Adressraum
Frage von norre2000DSL, VDSL12 Kommentare

Hallo Zusammen, ich werde meinen Glasfaser Anschluss wechseln und bin beim Ausfüllen des Antrags auf Fragen gestoßen bei denen ...

Internet
Aktuell HP-Support-Seite kaputt?
gelöst Frage von LochkartenstanzerInternet12 Kommentare

Hallo Kollegen, Weiß einer von euch, seit wann die HP-Support-Seite kaputt ist? ) Wollte heute morgen Druckertreiber runterladen und ...

Ubuntu
Exchange Alternative auf Ubuntu
Frage von TELLOUbuntu11 Kommentare

Hi NG, wir müssen für unsere Kleine Firma (5 User) das Email / Kalendersystem neu einrichten. Ich könnte jetzt ...