Active Directory gefährdet: DNS-Spoofing durch dynamische DNS-Updates

Active Directory gefährdet: DNS-Spoofing durch dynamische DNS-Updates

Schwachstelle im Windows-DHCP-Server ermöglicht unberechtigtes Überschreiben von DNS-Einträgen (DNS-Spoofing) im Active Directory.

Angriffsvektor: Dynamische DNS-Updates als Einfallstor für DNS-Spoofing

Forscher von Akamai warnen vor neuartigen Angriffen auf Microsofts Active Directory. Die Schwachstelle liegt in der dynamischen DNS-Registrierung durch den Windows-DHCP-Server, die es Angreifern erlaubt, DNS-Einträge zu spoofen. Selbst ohne Anmeldung und unter Verwendung der Standardkonfiguration des DHCP-Servers können Angreifer so Accounts oder die gesamte Active-Directory-Domäne kompromittieren.

Microsoft plant derzeit keine Lösung für die entdeckte Schwachstelle. Akamai stellt in einem Blogbeitrag detaillierte Informationen zu den Angriffen vor und bietet das Tool „Invoke-DHCPCheckup“ an, um gefährdete Konfigurationen zu erkennen.

Gefährliche Updates und die Rolle des DNS

Das Active Directory ist stark mit dem DNS verbunden, und oft fungieren Domain Controller gleichzeitig als DNS- und DHCP-Server. Die dynamische DNS-Aktualisierung durch den Windows DHCP-Server ermöglicht es Clients, ihre Hostnamen im DNS zu registrieren. Diese Funktion erfordert keine Authentifizierung des DHCP-Clients und macht somit DNS-Einträge anfällig für Spoofing.

Unsichere Records, wie vom DHCP-Server erstellte Managed Records, können ohne Authentifizierung durch den Client aktualisiert werden. Dies betrifft auch den DNS-Eintrag des DHCP-Servers selbst. Akamai warnt vor potenziell fatalen Auswirkungen, insbesondere wenn der DHCP-Server gleichzeitig als Domänencontroller fungiert.

Gegenmaßnahmen und deren Schwächen

Akamai schlägt als Gegenmaßnahme Name Protection auf Basis des DHCID-Record-Typs vor, räumt jedoch Schwachstellen wie die Anfälligkeit für Brute-Force-Attacken ein. Die Nutzung dedizierter DNS-Credentials zwischen DHCP und DNS wird empfohlen, bietet jedoch keine vollständige Sicherheit für vom DHCP erstellte Records.

Facebook
LinkedIn
Twitter
XING
Email
Nach oben scrollen
Die neuesten Cybernews

Melde dich zu unserem Newsletter an!

Sei deinen Angreifern immer einen Schritt voraus mit den aktuellen Cybersecurity News!