Schwachstelle im Windows-DHCP-Server ermöglicht unberechtigtes Überschreiben von DNS-Einträgen (DNS-Spoofing) im Active Directory.
Angriffsvektor: Dynamische DNS-Updates als Einfallstor für DNS-Spoofing
Forscher von Akamai warnen vor neuartigen Angriffen auf Microsofts Active Directory. Die Schwachstelle liegt in der dynamischen DNS-Registrierung durch den Windows-DHCP-Server, die es Angreifern erlaubt, DNS-Einträge zu spoofen. Selbst ohne Anmeldung und unter Verwendung der Standardkonfiguration des DHCP-Servers können Angreifer so Accounts oder die gesamte Active-Directory-Domäne kompromittieren.
Microsoft plant derzeit keine Lösung für die entdeckte Schwachstelle. Akamai stellt in einem Blogbeitrag detaillierte Informationen zu den Angriffen vor und bietet das Tool „Invoke-DHCPCheckup“ an, um gefährdete Konfigurationen zu erkennen.
Gefährliche Updates und die Rolle des DNS
Das Active Directory ist stark mit dem DNS verbunden, und oft fungieren Domain Controller gleichzeitig als DNS- und DHCP-Server. Die dynamische DNS-Aktualisierung durch den Windows DHCP-Server ermöglicht es Clients, ihre Hostnamen im DNS zu registrieren. Diese Funktion erfordert keine Authentifizierung des DHCP-Clients und macht somit DNS-Einträge anfällig für Spoofing.
Unsichere Records, wie vom DHCP-Server erstellte Managed Records, können ohne Authentifizierung durch den Client aktualisiert werden. Dies betrifft auch den DNS-Eintrag des DHCP-Servers selbst. Akamai warnt vor potenziell fatalen Auswirkungen, insbesondere wenn der DHCP-Server gleichzeitig als Domänencontroller fungiert.
Gegenmaßnahmen und deren Schwächen
Akamai schlägt als Gegenmaßnahme Name Protection auf Basis des DHCID-Record-Typs vor, räumt jedoch Schwachstellen wie die Anfälligkeit für Brute-Force-Attacken ein. Die Nutzung dedizierter DNS-Credentials zwischen DHCP und DNS wird empfohlen, bietet jedoch keine vollständige Sicherheit für vom DHCP erstellte Records.