NT LAN Manager)-Authentifizierung
Armis warnt vor NTLM Relay-Attacken
Microsoft hatte an einem der letzten Patch Tuesday die Schwachstelle CVE-2021-31958 gepatcht, die zuvor von den Security-Forschern von Armis entdeckt wurde. Diese Sicherheitsanfälligkeit ermöglichte es einem Angreifer, die NTLM (NT LAN Manager)-Authentifizierung des Windows Event Viewer Service (WEVS) weiterzuleiten und eine privilegierte Session mit dem Ereignisanzeige-Dienst per Fernzugriff zu öffnen. Mit dieser Sitzung kann ein Angreifer lokale Ereignisprotokolle eines Zielgeräts und Dateiinformations-Metadaten ausspähen, das Dateisystem überfluten sowie kritische Dateien überschreiben, was einen permanenten DoS verursacht.
Wie NTLM Relay-Attacken funktionieren
Die Authentifizierung zwischen zwei Windows-Geräten erfolgt standardmäßig über die NTLM-Authentifizierung. Ein Client verwendet seine Anmeldeinformationen, um sich beim Server zu authentifizieren und auf privilegierte Dienste zuzugreifen. NTLM Relay-Angriffe sind wie ein Man-in-the-Middle (MiTM)-Angriff auf den NTLM-Authentifizierungsprozess. Er ermöglicht es einem Angreifer, eine privilegierte Sitzung mit dem Server zu öffnen, ohne tatsächlich die erforderlichen Anmeldeinformationen zu erhalten.
Um diese Angriffe zu verhindern, erzwingen die meisten Windows-Dienste einen strengeren Authentifizierungsstandard. Dies geschieht, indem jedes Paket in der Sitzung authentifiziert wird. Das bedeutet wiederum, dass die Weiterleitung für jedes Paket erfolgen müsste. Damit wird einem Angreifer die Möglichkeit genommen, zu kontrollieren, wie die Anmeldeinformationen verwendet werden.
OT-Anwendungen gefährdet
Übertragen auf einen Anwendungsfall im OT-Bereich können diese Attacken besonders gefährlich werden. In dieser Art von Umgebung ist es üblich, dass IT-Benutzer Remote-Desktop-Verbindungen verwenden, um technische Workstations zu verwalten. Die Einrichtung einer MiTM-Attacke auf einer solchen Verbindung kann es einem Angreifer ermöglichen, einen NTLM-Authentifizierungsprozess abzufangen und für den Zugriff auf den Event Viewer Service zu missbrauchen.
„Der Angreifer baut dann eine MiTM-Position zwischen einem Techniker und einer Engineering-Workstation auf, indem er die IP der Engineering-Workstation per ARP-Spoofing verfälscht und die RDP-Verbindung eines Technikers abfängt. Der Techniker initiiert eine RDP-Verbindung zur Engineering-Workstation und eine NTLM-Authentifizierungsanfrage wird vom Angreifer abgefangen. Dieser leitet die Anforderung an die Engineering-Workstation weiter, die eine NTLM-Challenge generiert, die vom PC des Technikers gelöst und an die Engineering-Workstation zurückgegeben wird. Nach erfolgreicher Weiterleitung der NTLM-Authentifizierung öffnet der Angreifer eine Event Viewer-Sitzung mit der Engineering-Workstation und überschreibt kritische Dateien, was zum DoS führt“, erklärt Marko Kirschner, Senior Director Solutions Architecture bei Armis.
Ein NTLM-Angriff könnte sich als fatal für den kontinuierlichen Workflow in einer OT-Umgebung erweisen. Engineering-Workstations in diesen Umgebungen enthalten kritische Datenbanken, die normalerweise nicht automatisch gesichert werden.
Fazit
In OT- und Healthcare-Umgebungen und in vielen weiteren Anwendungen kommen ungepatchte Windows-Geräte häufig vor. Die Armis-Plattform überwacht die Verwendung von RPC-Verbindungen sowie die verwendete Authentifizierungsstufe und kann Benutzer warnen, wenn eine unzureichende Authentifizierungsstufe verwendet wird. Darüber hinaus können auch ARP-Spoofing und andere MiTM-Angriffe erkannt werden, die NTLM-Relay-Angriffe erleichtern können.
