derwowusste
Goto Top

Ein weiterer Microsoft-Stirnklatscher

Habe gerade einen Artikel zu einem Sicherheitsproblem gefunden, welches mir zu seiner Zeit (gepatcht 2015) wohl durchgerutscht ist.
Es ist dennoch so spektakulär, dass ich es noch einmal verlinken möchte.

Stellt Euch vor, ihr habt einen verschlüsselten Laptop ohne preboot authentication, der zu einer Domäne gehört. Windows bootet also bis zum Windows-Logon. Wie folgender Artikel darstellt, konnte man mit geringem Aufwand in den Rechner einbrechen, ohne überhaupt eine Cold-boot- oder DMA-Attacke zu nutzen. Man installierte einfach einen DC in einer VM, gab ihm die gleiche IP, wie der Unternehmens-DC (diese Infos würden Insidern vorliegen) und los geht's.

Man sollte annehmen, dass dieser Fake-DC nicht ausreicht, um sich anzumelden. Tut er auch nicht. Leider reichte er aus, um das Kennwort zu wechseln und sich dann offline anzumelden.
Bittere Sache. Man sollte nicht glauben, dass die Architektur seiner Zeit so undurchdacht war.

https://www.computerworld.com/article/3005184/encryption/bitlocker-encry ...

Content-Key: 398205

Url: https://administrator.de/contentid/398205

Ausgedruckt am: 19.03.2024 um 08:03 Uhr

Mitglied: Dani
Dani 14.01.2019 aktualisiert um 20:07:29 Uhr
Goto Top
Guten Abend @DerWoWusste,
interessanter Ansatz... und scheint sich durch alle Produkte zu ziehen.

Leider sind die KB-Nummern bzw. Links im MS15-122 security bulletin nicht mehr aktuell. Zum Beispiel wird für Windows 7 der KB3101246 angeben. Das Update wurde inzwischen durch KB3126587 ersetzt. Das zieht sich wie ein roter Faden durch den Artikel. Daher haben viele das Update unbewusst schon installiert.

Man installierte einfach einen DC in einer VM, gab ihm die gleiche IP, wie der Unternehmens-DC (diese Infos würden Insidern vorliegen) und los geht's.
Hmm... aber ohne die vertrauenswürdige/gesicherte Kommunkation der Arbeitsstation mit dem Domain Controller werden solche Infos nicht ausgetauscht, oder?


Gruß,
Dani
Mitglied: DerWoWusste
DerWoWusste 14.01.2019 um 23:11:29 Uhr
Goto Top
Hmm... aber ohne die vertrauenswürdige/gesicherte Kommunkation der Arbeitsstation mit dem Domain Controller werden solche Infos nicht ausgetauscht, oder?
Ja, doch, darum schreibe ich das doch gerade. Da hat jemand haarsträubende Design-Mängel (keine Bugs) aufgedeckt, die das Update behoben hat.

Das Update haben natürlich schon alle installiert, die automatisch patchen - da mache ich mir keine Sorge. Ich habe mich bloß gewundert, wie MS es mal wieder geschafft hat, dass das nicht an die große Glocke gehängt wurde.
Mitglied: emeriks
emeriks 15.01.2019 um 07:38:40 Uhr
Goto Top
Hi DWW,
interessant zu wissen!
Was ich aber nicht ganz nachvollziehen kann: Die Aufforderung zum Ändern des Passworts kommt doch erst, nachdem man sich mit dem alten angemeldet hat. Wenn man das alte Passwort kennt, dann braucht man doch dieses Konstrukt nicht, um an die Daten des Laptops zu kommen?

E.
Mitglied: DerWoWusste
DerWoWusste 15.01.2019 um 08:33:41 Uhr
Goto Top
Moin.

Die Aufforderung zum Ändern des Passworts kommt doch erst, nachdem man sich mit dem alten angemeldet hat.
Nein, eben nicht. Ist das alte abgelaufen, wird nicht einmal geschaut, ob die Eingabe korrekt ist.
Mitglied: emeriks
emeriks 15.01.2019 um 08:35:40 Uhr
Goto Top
Zitat von @DerWoWusste:
Nein, eben nicht. Ist das alte abgelaufen, wird nicht einmal geschaut, ob die Eingabe korrekt ist.
Das ist krass!
Mitglied: Dani
Dani 15.01.2019 um 20:30:08 Uhr
Goto Top
Moin,
Ja, doch, darum schreibe ich das doch gerade. Da hat jemand haarsträubende Design-Mängel (keine Bugs) aufgedeckt, die das Update behoben hat.
ich hab's heute Nachmittag auf die Schnelle ohne die notwendigen Updates nicht hinbekommen. Kannst du einmal beschreiben wie du vorgegangen bist?!


Gruß,
Dani
Mitglied: DerWoWusste
DerWoWusste 15.01.2019 aktualisiert um 22:56:24 Uhr
Goto Top
Es ist genau wie dort beschrieben ist:

(Habe hier zum Test einen 2008 DC und ein Win7 genommen, beides ohne jegliche Updates)

Win7 zur echten Domäne hinzufügen und einmal mit einem Domänenuser ("Test") anmelden. Nun muss man den Win7 vom eigentlichen, echten Netzwerk isolieren, und einen Fake-DC aufsetzen (selber Domänen-Name und Servername, selbe IP wie der Echte) , auf dem ebenso ein User "Test" mit einem x-beliebigen Kennwort abc123 angelegt und sein Kennwort sogleich auf abgelaufen gesetzt wird, dazu "Benutzer muss Kennwort bei der nächsten Anmeldung ändern" anhaken. Nun bringen wir den Fake-DC und Win7 in ein Netz und versuchen uns als Test mit abc123 an Win7 anzumelden. Win7 sagt "Kennwort ist abgelaufen und muss geändert werden", worauf wir das Kennwort auf xyz123 ändern und danach den Fake-DC einfach ausschalten oder ihn vom Netz nehmen. Schon können wir uns auf Win7 mit xyz123 anmelden, denn das gecachte Kennwort ist mittlerweile ja xyz123.
Mitglied: DerWoWusste
DerWoWusste 17.01.2019 um 09:34:35 Uhr
Goto Top
Und, hat's nun auch bei Dir geklappt, Dani?

Das ist echt so bitter... das Problem bestand also von 2000-2015. Und das Schönste ist ja, dass niemand eine solche Attacke bemerkt, denn der legitime Nutzer kommt auch danach noch mit seinem Kennwort problemlos rein. Das klingt fast nach Sollbruchstelle.
Mitglied: UweGri
UweGri 17.01.2019 um 23:35:49 Uhr
Goto Top
Die Sache ist mir bekannt. Ist unserer schnellen Zeit geschuldet. Eine preboot Sicherung ermöglicht keine Fernwartung mehr. Hier wird nix ohne eine derartige Sicherung betrieben. Uwe
Mitglied: Dani
Dani 18.01.2019 um 10:20:50 Uhr
Goto Top
Moin @DerWoWusste,
Und, hat's nun auch bei Dir geklappt, Dani?
ich habe leider aktuell keine Zeit es nochmals zu versuchen.
Hab grad Handwerker zu Hause und die machen was sie wollen. face-confused


Gruß,
Dani
Mitglied: Dani
Dani 29.01.2019 um 21:01:35 Uhr
Goto Top
Moin,
Und, hat's nun auch bei Dir geklappt, Dani?
so endlich Zeit gehabt im Lab das Ganze nochmals zu versuchen.
Siehe da es funktioniert wie du es beschrieben hast.


Gruß,
Dani