Forscher von Akamai haben eine neue Methode enthüllt, die potenziell Millionen von Windows-Domänen gefährden könnte. Diese Methode nutzt die Administratorengruppe des Dynamic Host Configuration Protocol (DHCP), um Berechtigungen in Active Directory (AD)-Umgebungen zu erhöhen, die ein Eckpfeiler des Netzwerkmanagements in zahlreichen globalen Organisationen sind.
Der DHCP-Server spielt eine entscheidende Rolle im Netzwerkmanagement, indem er IP-Adressen an Geräte vergibt. Wenn jedoch diese Serverrolle auf einem Domänencontroller (DC) installiert wird, werden erhebliche Sicherheitslücken geöffnet.
Forscher haben herausgefunden, dass diese Konfiguration ausgenutzt werden kann, um Angreifern Domänenadministratorberechtigungen zu gewähren und ihnen praktisch uneingeschränkten Zugang zur Domäne zu gewähren.
Obwohl keine traditionelle Sicherheitslücke ausgenutzt wird, nutzt diese Methode standard Funktionen auf eine Weise, die sie außergewöhnlich heimtückisch und gefährlich macht.
Da Microsoft DHCP-Server in etwa 40% der von Akamai überwachten Netzwerke vorhanden sind, ist das potenzielle Ausmaß dieser Bedrohung enorm.
Darüber hinaus kann diese Methode neben der einfachen Eskalation von Berechtigungen einen verdeckten Mechanismus für die Domänenpersistenz etablieren, was die Sicherheitsmaßnahmen weiter erschwert.
Das bedeutet, dass Angreifer ihre Spuren in einem Netzwerk versteckt halten können, was eine erhebliche Bedrohung für die Sicherheit von Organisationen darstellt.
Aufgrund der Art dieser Technik gibt es keine einfache Lösung wie etwa einen Patch. Die Forscher von Akamai haben jedoch detaillierte Schritte zur Risikominimierung und Erkennung erarbeitet, um Organisationen beim Aufspüren und Absichern zu unterstützen.
Dazu gehören die Identifizierung von riskanten DHCP-Konfigurationen, die Verringerung von Relaisangriffen gegen AD-Zertifikatsdienste (AD CS), die Einhaltung der Hygiene der DHCP-Administratorengruppe, die Verwendung von Netzwerksegmentierung und die Identifizierung von DNS-Anomalien, so die Forscher von Akamai.
Das erzwingen von DHCP ermöglicht es Angreifern, einen DHCP-Server dazu zu bringen, sich mit einer von ihnen kontrollierten Maschine zu authentifizieren. Diese Methode kann dann bei einem Kerberos-Relaisangriff genutzt werden, um die Kontrolle über den Server zu erlangen. Die Auswirkungen sind besonders gravierend, wenn AD-Zertifikatsdienste in der Umgebung verwendet werden, da dies zu einem vollständigen Kompromittieren der Domäne führen kann.
Diese Entdeckung weist wieder einmal darauf hin wie wichtig Netzwerksicherheit und Überwachung sind. Organisationen werden dringend aufgefordert, ihre DHCP-Serverkonfigurationen zu überprüfen, insbesondere diejenigen, die auf DCs installiert sind, und die empfohlenen Abwehrmaßnahmen umzusetzen.
Da sich die digitale Landschaft weiterentwickelt, tun dies auch die Taktiken derjenigen mit böswilliger Absicht. Es liegt in der Verantwortung von Sicherheitsfachleuten, diesen Bedrohungen einen Schritt voraus zu sein und die Integrität und Sicherheit ihrer Netzwerke zu gewährleisten.
Die DHCP-Administratorengruppe bietet essentielle Funktionalität, birgt jedoch auch ein potentielles Risiko, wenn sie nicht mit äußerster Sorgfalt verwaltet wird. Die Forschungsergebnisse von Akamai unterstreichen die Notwendigkeit eines ausgewogenen Ansatzes zur Zugriffsverwaltung, der das Netzwerk sichert, ohne die operationale Effizienz zu beeinträchtigen.