11
Ein weiterer Microsoft-Stirnklatscher
Habe gerade einen Artikel zu einem Sicherheitsproblem gefunden, welches mir zu seiner Zeit (gepatcht 2015) wohl durchgerutscht ist.
Es ist dennoch so spektakulär, dass ich es noch einmal verlinken möchte.
Stellt Euch vor, ihr habt einen verschlüsselten Laptop ohne preboot authentication, der zu einer Domäne gehört. Windows bootet also bis zum Windows-Logon. Wie folgender Artikel darstellt, konnte man mit geringem Aufwand in den Rechner einbrechen, ohne überhaupt eine Cold-boot- oder DMA-Attacke zu nutzen. Man installierte einfach einen DC in einer VM, gab ihm die gleiche IP, wie der Unternehmens-DC (diese Infos würden Insidern vorliegen) und los geht's.
Man sollte annehmen, dass dieser Fake-DC nicht ausreicht, um sich anzumelden. Tut er auch nicht. Leider reichte er aus, um das Kennwort zu wechseln und sich dann offline anzumelden.
Bittere Sache. Man sollte nicht glauben, dass die Architektur seiner Zeit so undurchdacht war.
https://www.computerworld.com/article/3005184/encryption/bitlocker-encry ...
Es ist dennoch so spektakulär, dass ich es noch einmal verlinken möchte.
Stellt Euch vor, ihr habt einen verschlüsselten Laptop ohne preboot authentication, der zu einer Domäne gehört. Windows bootet also bis zum Windows-Logon. Wie folgender Artikel darstellt, konnte man mit geringem Aufwand in den Rechner einbrechen, ohne überhaupt eine Cold-boot- oder DMA-Attacke zu nutzen. Man installierte einfach einen DC in einer VM, gab ihm die gleiche IP, wie der Unternehmens-DC (diese Infos würden Insidern vorliegen) und los geht's.
Man sollte annehmen, dass dieser Fake-DC nicht ausreicht, um sich anzumelden. Tut er auch nicht. Leider reichte er aus, um das Kennwort zu wechseln und sich dann offline anzumelden.
Bittere Sache. Man sollte nicht glauben, dass die Architektur seiner Zeit so undurchdacht war.
https://www.computerworld.com/article/3005184/encryption/bitlocker-encry ...
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 398205
Url: https://administrator.de/contentid/398205
Printed on: April 24, 2024 at 03:04 o'clock
11 Comments
Latest comment
Guten Abend @DerWoWusste,
interessanter Ansatz... und scheint sich durch alle Produkte zu ziehen.
Leider sind die KB-Nummern bzw. Links im MS15-122 security bulletin nicht mehr aktuell. Zum Beispiel wird für Windows 7 der KB3101246 angeben. Das Update wurde inzwischen durch KB3126587 ersetzt. Das zieht sich wie ein roter Faden durch den Artikel. Daher haben viele das Update unbewusst schon installiert.
Gruß,
Dani
interessanter Ansatz... und scheint sich durch alle Produkte zu ziehen.
Leider sind die KB-Nummern bzw. Links im MS15-122 security bulletin nicht mehr aktuell. Zum Beispiel wird für Windows 7 der KB3101246 angeben. Das Update wurde inzwischen durch KB3126587 ersetzt. Das zieht sich wie ein roter Faden durch den Artikel. Daher haben viele das Update unbewusst schon installiert.
Man installierte einfach einen DC in einer VM, gab ihm die gleiche IP, wie der Unternehmens-DC (diese Infos würden Insidern vorliegen) und los geht's.
Hmm... aber ohne die vertrauenswürdige/gesicherte Kommunkation der Arbeitsstation mit dem Domain Controller werden solche Infos nicht ausgetauscht, oder?Gruß,
Dani
Hmm... aber ohne die vertrauenswürdige/gesicherte Kommunkation der Arbeitsstation mit dem Domain Controller werden solche Infos nicht ausgetauscht, oder?
Ja, doch, darum schreibe ich das doch gerade. Da hat jemand haarsträubende Design-Mängel (keine Bugs) aufgedeckt, die das Update behoben hat.Das Update haben natürlich schon alle installiert, die automatisch patchen - da mache ich mir keine Sorge. Ich habe mich bloß gewundert, wie MS es mal wieder geschafft hat, dass das nicht an die große Glocke gehängt wurde.
Hi DWW,
interessant zu wissen!
Was ich aber nicht ganz nachvollziehen kann: Die Aufforderung zum Ändern des Passworts kommt doch erst, nachdem man sich mit dem alten angemeldet hat. Wenn man das alte Passwort kennt, dann braucht man doch dieses Konstrukt nicht, um an die Daten des Laptops zu kommen?
E.
interessant zu wissen!
Was ich aber nicht ganz nachvollziehen kann: Die Aufforderung zum Ändern des Passworts kommt doch erst, nachdem man sich mit dem alten angemeldet hat. Wenn man das alte Passwort kennt, dann braucht man doch dieses Konstrukt nicht, um an die Daten des Laptops zu kommen?
E.
Moin.
Die Aufforderung zum Ändern des Passworts kommt doch erst, nachdem man sich mit dem alten angemeldet hat.
Nein, eben nicht. Ist das alte abgelaufen, wird nicht einmal geschaut, ob die Eingabe korrekt ist.Zitat von @DerWoWusste:
Nein, eben nicht. Ist das alte abgelaufen, wird nicht einmal geschaut, ob die Eingabe korrekt ist.
Das ist krass!Nein, eben nicht. Ist das alte abgelaufen, wird nicht einmal geschaut, ob die Eingabe korrekt ist.
Moin,
Gruß,
Dani
Ja, doch, darum schreibe ich das doch gerade. Da hat jemand haarsträubende Design-Mängel (keine Bugs) aufgedeckt, die das Update behoben hat.
ich hab's heute Nachmittag auf die Schnelle ohne die notwendigen Updates nicht hinbekommen. Kannst du einmal beschreiben wie du vorgegangen bist?!Gruß,
Dani
Es ist genau wie dort beschrieben ist:
(Habe hier zum Test einen 2008 DC und ein Win7 genommen, beides ohne jegliche Updates)
Win7 zur echten Domäne hinzufügen und einmal mit einem Domänenuser ("Test") anmelden. Nun muss man den Win7 vom eigentlichen, echten Netzwerk isolieren, und einen Fake-DC aufsetzen (selber Domänen-Name und Servername, selbe IP wie der Echte) , auf dem ebenso ein User "Test" mit einem x-beliebigen Kennwort abc123 angelegt und sein Kennwort sogleich auf abgelaufen gesetzt wird, dazu "Benutzer muss Kennwort bei der nächsten Anmeldung ändern" anhaken. Nun bringen wir den Fake-DC und Win7 in ein Netz und versuchen uns als Test mit abc123 an Win7 anzumelden. Win7 sagt "Kennwort ist abgelaufen und muss geändert werden", worauf wir das Kennwort auf xyz123 ändern und danach den Fake-DC einfach ausschalten oder ihn vom Netz nehmen. Schon können wir uns auf Win7 mit xyz123 anmelden, denn das gecachte Kennwort ist mittlerweile ja xyz123.
(Habe hier zum Test einen 2008 DC und ein Win7 genommen, beides ohne jegliche Updates)
Win7 zur echten Domäne hinzufügen und einmal mit einem Domänenuser ("Test") anmelden. Nun muss man den Win7 vom eigentlichen, echten Netzwerk isolieren, und einen Fake-DC aufsetzen (selber Domänen-Name und Servername, selbe IP wie der Echte) , auf dem ebenso ein User "Test" mit einem x-beliebigen Kennwort abc123 angelegt und sein Kennwort sogleich auf abgelaufen gesetzt wird, dazu "Benutzer muss Kennwort bei der nächsten Anmeldung ändern" anhaken. Nun bringen wir den Fake-DC und Win7 in ein Netz und versuchen uns als Test mit abc123 an Win7 anzumelden. Win7 sagt "Kennwort ist abgelaufen und muss geändert werden", worauf wir das Kennwort auf xyz123 ändern und danach den Fake-DC einfach ausschalten oder ihn vom Netz nehmen. Schon können wir uns auf Win7 mit xyz123 anmelden, denn das gecachte Kennwort ist mittlerweile ja xyz123.
Und, hat's nun auch bei Dir geklappt, Dani?
Das ist echt so bitter... das Problem bestand also von 2000-2015. Und das Schönste ist ja, dass niemand eine solche Attacke bemerkt, denn der legitime Nutzer kommt auch danach noch mit seinem Kennwort problemlos rein. Das klingt fast nach Sollbruchstelle.
Das ist echt so bitter... das Problem bestand also von 2000-2015. Und das Schönste ist ja, dass niemand eine solche Attacke bemerkt, denn der legitime Nutzer kommt auch danach noch mit seinem Kennwort problemlos rein. Das klingt fast nach Sollbruchstelle.
Die Sache ist mir bekannt. Ist unserer schnellen Zeit geschuldet. Eine preboot Sicherung ermöglicht keine Fernwartung mehr. Hier wird nix ohne eine derartige Sicherung betrieben. Uwe
Moin @DerWoWusste,
Hab grad Handwerker zu Hause und die machen was sie wollen.
Gruß,
Dani
Und, hat's nun auch bei Dir geklappt, Dani?
ich habe leider aktuell keine Zeit es nochmals zu versuchen.Hab grad Handwerker zu Hause und die machen was sie wollen.
Gruß,
Dani
Moin,
Siehe da es funktioniert wie du es beschrieben hast.
Gruß,
Dani
Und, hat's nun auch bei Dir geklappt, Dani?
so endlich Zeit gehabt im Lab das Ganze nochmals zu versuchen.Siehe da es funktioniert wie du es beschrieben hast.
Gruß,
Dani
