Microsoft verschiebt das Update auf die zweite Jahreshälfte 2020.
LDAP Channel Binding und LDAP-Signierung bieten Möglichkeiten zur Erhöhung der Sicherheit der Netzwerkkommunikation zwischen Active Directory Domain Services (AD DS) oder Active Directory Lightweight Directory Services (AD LDS) und ihren Clients. Die Standardkonfiguration für LDAP-Kanalbindung und LDAP-Signierung (Lightweight Directory Access Protocol) weist eine Sicherheitsanfälligkeit auf und kann dazu führen, dass Active Directory-Domänencontroller erhöhten Sicherheitsbedrohungen ausgesetzt sind.
Microsoft Security Advisory ADV190023 behebt das Problem, indem es den Administratoren empfiehlt, die LDAP-Kanalbindung und LDAP-Signatur auf Active Directory-Domänencontrollern zu aktivieren. Diese Härtung muss bis zur Veröffentlichung des Sicherheitsupdates, das diese Einstellungen standardmäßig aktiviert, manuell durchgeführt werden.
Microsoft beabsichtigt, ein Sicherheitsupdate für Windows Update zu veröffentlichen, um Änderungen bei der LDAP-Kanalbindung und der LDAP-Signaturhärtung zu ermöglichen. Dieses Update wird voraussichtlich Mitte Januar 2020 verfügbar sein.
Warum ist diese Änderung erforderlich?
Microsoft empfiehlt Administratoren, die in ADV190023 beschriebenen Änderungen zur verbesserten Absicherung vorzunehmen, da bei Verwendung der Standardeinstellungen in Microsoft Windows eine erhöhte Sicherheitslücke besteht, die es einem Man-in-the-Middle-Angreifer ermöglichen könnte, eine Authentifizierungsanforderung erfolgreich an einen Windows-LDAP-Server weiterzuleiten, wie beispielsweise ein System mit AD DS oder AD LDS, das nicht konfiguriert ist, um das Signieren oder Versiegeln eingehender Verbindungen zu verlangen.
Die Sicherheit eines Directory-Servers kann erheblich verbessert werden, indem der Server so konfiguriert wird, dass er Simple Authentication and Security Layer (SASL) LDAP-Bindungen, die keine Signatur anfordern (Integritätsprüfung), ablehnt oder einfache LDAP-Bindungen, die für einen Klartext ausgeführt werden, abgelehnt werden (non-SSL / TLS-verschlüsselte) Verbindung.
SASLs können Protokolle wie Negotiate, Kerberos, NTLM und Digest beinhalten. Der unsignierte Netzwerkverkehr ist anfällig für Wiederholungsangriffe, bei denen ein Angreifer den Authentifizierungsversuch und die Ausstellung eines Tickets abfängt.
Der Angreifer kann das Ticket wiederverwenden, um sich als legitimer Benutzer auszugeben. Darüber hinaus ist nicht signierter Netzwerkverkehr für Man-in-the-Middle-Angriffe anfällig, bei denen ein Angreifer Pakete zwischen dem Client und dem Server erfasst, die Pakete ändert und sie dann an den Server weiterleitet. Wenn dies auf einem LDAP-Server auftritt, kann ein Angreifer einen Server veranlassen, Entscheidungen zu treffen, die auf gefälschten Anforderungen des LDAP-Clients basieren.
Microsoft empfiehlt Administratoren, die in ADV190023 beschriebenen Änderungen zur Verschärfung der Sicherheitsvorkehrungen vorzunehmen, da bei Verwendung der Standardeinstellungen in Microsoft Windows eine erhöhte Sicherheitslücke besteht, die es einem Man-in-the-Middle-Angreifer ermöglichen könnte, eine Authentifizierungsanforderung erfolgreich an einen Windows-LDAP-Server weiterzuleiten, wie beispielsweise ein System mit AD DS oder AD LDS, das nicht konfiguriert ist, um das Signieren oder Versiegeln eingehender Verbindungen zu verlangen.
Quelle: Microsoft
