Overslaan en naar de inhoud gaan

Gapend gat in Microsoft Active Directory ontdekt

Microsoft stelt in een reactie dat het probleem al enige tijd bekend is en er al aan gewerkt wordt. Toch beweert het Israëlische beveiligingsbedrijf Aorato dat de mogelijkheid voor een hacker om wachtwoorden naar zijn hand te zetten, zeker niet bekend was. Het bedrijf heeft een proof-of-concept ontwikkeld waarmee het kan aantonen hoe de aanval kan worden uitgevoerd.
Business
Shutterstock
Shutterstock

Het probleem is groot omdat zo'n 95 procent van de Fortune 500 bedrijven, gebruik maken van Active Directory. Het vormt onderdeel van het standaard authenticatie- en autorisatiemechanisme in Windows Server.

De fout beperkt zich overigens niet tot Active Directory. Het probleem zit in NTLM, een authenticatieprotocol, dat in meer systemen voor single sign-on voorkomt. NTLM blijkt kwetsbaar te zijn voor een 'pass-the-hash'-aanval. Daarbij kan een hacker die de login-gegevens van een gebruiker heeft weten te bemachtigen het hashing-algoritme (versleuteling) gebruiken om ook toegang te krijgen tot andere accounts. Het is een vaker gebruikte methode om een login voor een onbelangrijke dienst op het netwerk die makkelijk te verkrijgen is, te gebruiken om de login voor veel gevoeliger diensten uit af te leiden.

Het 'pass-the-hash'-probleem is een kwetsbaar element van veel systemen voor single sign-on, aangezien de 'hash' ergens op de client moet worden opgeslagen.

Client kan autenticatieserver dwingen zwak protocol te gebruiken

Microsoft gebruikte NTLM als default in alle besturingssystemen ouder dan Windows XP SP3. Nieuwere versies van het besturingssysteem maken gebruik van een combinatie van NTLM en Kerberos, een opvolger van NTLM. Microsoft probeert al geruime tijd NTLM uit te faseren. Clients kunnen de nieuwere versies echter nog altijd dwingen gebruik te maken van de NTLM-authenticatie op de server. Daarbij vindt er geen logging plaats van de activiteiten van NTLM, waardoor een aanval ook moeilijk te ontdekken en te traceren is.

Gerelateerde artikelen
Gerelateerde artikelen

Reacties

Om een reactie achter te laten is een account vereist.

Inloggen Word abonnee

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in