Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWünsch Dir wasWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Ein weiterer Microsoft-Stirnklatscher

Mitglied: DerWoWusste

DerWoWusste (Level 5) - Jetzt verbinden

14.01.2019, aktualisiert 19:35 Uhr, 3540 Aufrufe, 11 Kommentare, 3 Danke

Habe gerade einen Artikel zu einem Sicherheitsproblem gefunden, welches mir zu seiner Zeit (gepatcht 2015) wohl durchgerutscht ist.
Es ist dennoch so spektakulär, dass ich es noch einmal verlinken möchte.

Stellt Euch vor, ihr habt einen verschlüsselten Laptop ohne preboot authentication, der zu einer Domäne gehört. Windows bootet also bis zum Windows-Logon. Wie folgender Artikel darstellt, konnte man mit geringem Aufwand in den Rechner einbrechen, ohne überhaupt eine Cold-boot- oder DMA-Attacke zu nutzen. Man installierte einfach einen DC in einer VM, gab ihm die gleiche IP, wie der Unternehmens-DC (diese Infos würden Insidern vorliegen) und los geht's.

Man sollte annehmen, dass dieser Fake-DC nicht ausreicht, um sich anzumelden. Tut er auch nicht. Leider reichte er aus, um das Kennwort zu wechseln und sich dann offline anzumelden.
Bittere Sache. Man sollte nicht glauben, dass die Architektur seiner Zeit so undurchdacht war.

https://www.computerworld.com/article/3005184/encryption/bitlocker-encry ...
Mitglied: Dani
14.01.2019, aktualisiert um 20:07 Uhr
Guten Abend @DerWoWusste,
interessanter Ansatz... und scheint sich durch alle Produkte zu ziehen.

Leider sind die KB-Nummern bzw. Links im MS15-122 security bulletin nicht mehr aktuell. Zum Beispiel wird für Windows 7 der KB3101246 angeben. Das Update wurde inzwischen durch KB3126587 ersetzt. Das zieht sich wie ein roter Faden durch den Artikel. Daher haben viele das Update unbewusst schon installiert.

Man installierte einfach einen DC in einer VM, gab ihm die gleiche IP, wie der Unternehmens-DC (diese Infos würden Insidern vorliegen) und los geht's.
Hmm... aber ohne die vertrauenswürdige/gesicherte Kommunkation der Arbeitsstation mit dem Domain Controller werden solche Infos nicht ausgetauscht, oder?


Gruß,
Dani
Bitte warten ..
Mitglied: DerWoWusste
14.01.2019 um 23:11 Uhr
Hmm... aber ohne die vertrauenswürdige/gesicherte Kommunkation der Arbeitsstation mit dem Domain Controller werden solche Infos nicht ausgetauscht, oder?
Ja, doch, darum schreibe ich das doch gerade. Da hat jemand haarsträubende Design-Mängel (keine Bugs) aufgedeckt, die das Update behoben hat.

Das Update haben natürlich schon alle installiert, die automatisch patchen - da mache ich mir keine Sorge. Ich habe mich bloß gewundert, wie MS es mal wieder geschafft hat, dass das nicht an die große Glocke gehängt wurde.
Bitte warten ..
Mitglied: emeriks
15.01.2019 um 07:38 Uhr
Hi DWW,
interessant zu wissen!
Was ich aber nicht ganz nachvollziehen kann: Die Aufforderung zum Ändern des Passworts kommt doch erst, nachdem man sich mit dem alten angemeldet hat. Wenn man das alte Passwort kennt, dann braucht man doch dieses Konstrukt nicht, um an die Daten des Laptops zu kommen?

E.
Bitte warten ..
Mitglied: DerWoWusste
15.01.2019 um 08:33 Uhr
Moin.

Die Aufforderung zum Ändern des Passworts kommt doch erst, nachdem man sich mit dem alten angemeldet hat.
Nein, eben nicht. Ist das alte abgelaufen, wird nicht einmal geschaut, ob die Eingabe korrekt ist.
Bitte warten ..
Mitglied: emeriks
15.01.2019 um 08:35 Uhr
Zitat von DerWoWusste:
Nein, eben nicht. Ist das alte abgelaufen, wird nicht einmal geschaut, ob die Eingabe korrekt ist.
Das ist krass!
Bitte warten ..
Mitglied: Dani
15.01.2019 um 20:30 Uhr
Moin,
Ja, doch, darum schreibe ich das doch gerade. Da hat jemand haarsträubende Design-Mängel (keine Bugs) aufgedeckt, die das Update behoben hat.
ich hab's heute Nachmittag auf die Schnelle ohne die notwendigen Updates nicht hinbekommen. Kannst du einmal beschreiben wie du vorgegangen bist?!


Gruß,
Dani
Bitte warten ..
Mitglied: DerWoWusste
15.01.2019, aktualisiert um 22:56 Uhr
Es ist genau wie dort beschrieben ist:

(Habe hier zum Test einen 2008 DC und ein Win7 genommen, beides ohne jegliche Updates)

Win7 zur echten Domäne hinzufügen und einmal mit einem Domänenuser ("Test") anmelden. Nun muss man den Win7 vom eigentlichen, echten Netzwerk isolieren, und einen Fake-DC aufsetzen (selber Domänen-Name und Servername, selbe IP wie der Echte) , auf dem ebenso ein User "Test" mit einem x-beliebigen Kennwort abc123 angelegt und sein Kennwort sogleich auf abgelaufen gesetzt wird, dazu "Benutzer muss Kennwort bei der nächsten Anmeldung ändern" anhaken. Nun bringen wir den Fake-DC und Win7 in ein Netz und versuchen uns als Test mit abc123 an Win7 anzumelden. Win7 sagt "Kennwort ist abgelaufen und muss geändert werden", worauf wir das Kennwort auf xyz123 ändern und danach den Fake-DC einfach ausschalten oder ihn vom Netz nehmen. Schon können wir uns auf Win7 mit xyz123 anmelden, denn das gecachte Kennwort ist mittlerweile ja xyz123.
Bitte warten ..
Mitglied: DerWoWusste
17.01.2019 um 09:34 Uhr
Und, hat's nun auch bei Dir geklappt, Dani?

Das ist echt so bitter... das Problem bestand also von 2000-2015. Und das Schönste ist ja, dass niemand eine solche Attacke bemerkt, denn der legitime Nutzer kommt auch danach noch mit seinem Kennwort problemlos rein. Das klingt fast nach Sollbruchstelle.
Bitte warten ..
Mitglied: UweGri
17.01.2019 um 23:35 Uhr
Die Sache ist mir bekannt. Ist unserer schnellen Zeit geschuldet. Eine preboot Sicherung ermöglicht keine Fernwartung mehr. Hier wird nix ohne eine derartige Sicherung betrieben. Uwe
Bitte warten ..
Mitglied: Dani
18.01.2019 um 10:20 Uhr
Moin @DerWoWusste,
Und, hat's nun auch bei Dir geklappt, Dani?
ich habe leider aktuell keine Zeit es nochmals zu versuchen.
Hab grad Handwerker zu Hause und die machen was sie wollen.


Gruß,
Dani
Bitte warten ..
Mitglied: Dani
29.01.2019 um 21:01 Uhr
Moin,
Und, hat's nun auch bei Dir geklappt, Dani?
so endlich Zeit gehabt im Lab das Ganze nochmals zu versuchen.
Siehe da es funktioniert wie du es beschrieben hast.


Gruß,
Dani
Bitte warten ..
Ähnliche Inhalte
Microsoft

Microsoft schließt weltweit seine 82 Microsoft Stores

Information von FrankMicrosoft2 Kommentare

Laut Microsoft schließen nach 11 Jahren weltweit alle 82 Einzelhandelsgeschäfte für immer ihre Türen. Das kündigte der Softwarekonzern am ...

Microsoft

Microsoft Telefonaktivierungs App

Tipp von alik47Microsoft32 Kommentare

Hallo zusammen, ich möchte euch den MPActivator vorstellen. Es ist eine App mit der man die Telefonaktivierung speziell von ...

Humor (lol)

Mail von Microsoft (angeblich)

Information von StefanKittelHumor (lol)5 Kommentare

Moin, diese "Perle" habe ich eben erhalten: Übersetzt:

Humor (lol)

Neuer Kammerjäger bei Microsoft?

Information von DerWoWussteHumor (lol)4 Kommentare

Moin. Ich lese wie jeden Patchday die einzelnen Security Advisories quer. Während in den letzten Monaten hin und wieder ...

Neue Wissensbeiträge
Monitoring

Unabhängiger Ansatz - IoT (frei von Cloud- oder Appzwang) - Hier mit Schaltsteckdosen

Anleitung von beidermachtvongreyscull vor 2 TagenMonitoring2 Kommentare

Tach Kollegen, ich erzähle Euch mal von meiner Ausgangslage und den/m Problem(chen) Ich benutze ein NAS zur Lagerung meiner ...

Microsoft
Microsoft Advanced Threat Protection for Linux
Information von Dani vor 4 TagenMicrosoft

Microsoft Defender Advanced Threat Protection (MD ATP) support for Linux with kernel version 3.10.0-327 or later, including the following ...

Humor (lol)
! ! Today ist SysAdmin-Day ! !
Information von VGem-e vor 5 TagenHumor (lol)5 Kommentare

Moin, "Happy Birthday" an alle Systemadministratoren, Mausschubser, System-/EDV-Betreuer, SysOps etc!! Siehe auch. Edit (Video hinzugefügt): Gruß VGem-e

Exchange Server
Basic Authentication and Exchange Online
Information von Dani vor 7 TagenExchange Server

Today we are pleased to announce some new changes to Modern Authentication controls in the Microsoft 365 Admin Center, ...

Heiß diskutierte Inhalte
Google Android
Handy gehackt ? - Gegemassnahmen
Frage von hushpuppiesGoogle Android27 Kommentare

Hallo zusammen, folgendes Szenario: Kollegin kommt heute zu mir und erzählt, dass ihre Tochter gestern über WhatsApp von einem ...

Windows Server
Windows-NAS zum sekundären DNS-Server machen?
Frage von DanielG1974Windows Server18 Kommentare

Moin. Wer so ein bissel meine Situation meiner Arbeitsstelle kennt Mein Chef hat immer noch keinen neuen ESXi-Server angeschafft. ...

Hyper-V
Hardware Empfehlung Hyper-V Host
Frage von TraxxTecHyper-V15 Kommentare

Hi, ich habe keine Ahnung was aktuell an Hardware unterwegs ist, deshalb bräuchte ich eine grobe Empfehlung für einen ...

Batch & Shell
Telefonserver remote starten
Frage von imebroBatch & Shell12 Kommentare

Hallo, ich hatte ein ähnliches Problem schon einmal. Damals hatten sich jedoch die Gegebenheiten dann verändert, sodass sich das ...

Weniger Werbung?
Administrator Magazin
07 | 2020 In der Juli-Ausgabe beleuchtet das IT-Administrator Magazin den Themenschwerpunkt "Monitoring & Support". Darin zeigt die Redaktion unter anderem, wie Sie die Leistung von Terminalservern im Blick behalten und welche Neuerungen das Ticketsystem OTRS 8 mitbringt. Auch die Überwachung von USV-Anlagen darf nicht fehlen. In ...