Das Sicherheitsforscher Team von Akamai hat eine bedeutende Schwachstelle in der Microsoft Active Directory gefunden. Im Zusammenhang mit Microsofts DHCP Server könnten Angreifer sensible DNS Daten spoofen. Problematisch ist bei dieser Schwachstelle, dass keine Zugangsdaten erforderlich sind, sondern der Übergriff mit den Werkseinstellungen des Microsoft DHCP-Servers funktioniert.
Spoofing ist eine weit verbreiteter Angriff, bei dem die in einem DNS Eintrag hinterlegte IP Adresse einer Domain so verändert wird, dass Nutzer auf böswillige Server umgeleitet werden, ohne dies zu bemerken und erleben somit unter Umständen eine Man-in-themiddle Attacke. Daraus können schwerwiegende Folgen resultieren, u.a. die Offenlegung sensibler Daten und Passwörter sowie Remote Code Execution
Angriffe auf DNS Dynamic Update
Akamai berichtet, dass der Microsoft DHCP-Server zu den viel genutzten Programmen für DHCP Requests gehört. In 40% der von Akamai überwachten Netzwerken wird Microsoft DCHP verwendet.
Das Feature, das böswillig ausgenutzt werden kann, ist DNS Dynamic Update. Tritt ein Client dem Netzwerk bei, kann er einen DHCP Request für eine IP-Adresse stellen und gleichzeitig DHCP-Server über seinen FQDN (Domainnamen) informieren. Validierung, DNS Eintrag und Rückmeldung an den DHCP Server übernimmt dann der DHCP Server.
Microsoft hat im System das DNS Dynamit Update standardmäßig aktiviert, das keine Authentifizierung benötigt. Der DHCP Server legt also ohne Validierung für jeden Client einen DNS Eintrag an.
Microsoft sieht keine „schwerwiegenden“ Probleme
Akamai hat Microsoft bereits über die Schwachstelle informiert und mitgeteilt, das das Überschreiben von DNS Einträgen ohne Authentifizierung – wie derzeit der Fall – schwerwiegende Man-in-ehe-middle-Angriffe zur Folge haben kann. Microsoft hat geantwortet, dass derzeit kein Patch geplant ist, “die Probleme seien designbedingt oder schlicht nicht schwerwiegend genug.“
Um den Adminstratoren eine Hilfe zur Identifikation der Risiken an die Hand zu geben, hat Akamai auf GitHub ein kostenfreies PowerShell-Script namens Invoke-DHCPCheckup veröffentlicht.