Een beveiligingsonderzoeker schrijft dat Kerberos, het authenticatieprotocol van Windows, vatbaar is voor een aanval waarbij een kwaadwillende gebruiker onder andere zichzelf beheerdersprivileges toe kan kennen en nieuwe gebruikers aan kan maken. Het lek zou niet te dichten zijn.
Het Kerberos-protocol maakt het mogelijk gebruikers op een netwerk te authenticeren zonder dat daarbij wachtwoorden verstuurd worden. Er wordt daarbij gebruikgemaakt van een key distribution center, dat zorgt voor de nodige sleutels. Het is de onderzoeker van het Dfir-Blog gelukt om het wachtwoord van een account genaamd 'krbtgt' te gebruiken om een geheime sleutel aan te maken. Dit account wordt standaard aangemaakt en wordt door Microsoft aangemerkt als een 'service account'.
De naam is niet te wijzigen en het account is ook niet verwijderbaar. Het wordt wel aangeraden het standaardwachtwoord te wijzigen, dit gebeurt volgens de onderzoeker echter vrijwel nooit.
Met de aangemaakte sleutel kan vervolgens het key distribution center overgehaald worden om verdere bevoegdheden toe te kennen. Hierna zou het mogelijk zijn allerlei handelingen uit te voeren, waaronder het aanmaken van nieuwe gebruikers. Het aanmaken van de met verouderde rc4-algoritme gecodeerde sleutel is vrij eenvoudig, aangezien deze gelijk is aan de hash van de ntlm-user.
Volgens de onderzoeker is het niet mogelijk de aanval tegen te gaan, 'omdat dit nu eenmaal is hoe Kerberos werkt'. De beste optie zou zijn op geprivilegieerde accounts te beschermen en gebruik te maken van Microsoft-technieken als groepen van Protected Users en de Credential Guard. The Register heeft Microsoft om commentaar gevraagd, tot nu toe zonder succes.
Bron: Tweakers.net