Stabsstelle Informationssicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-680

[MS/Windows NT,2000] Fehlende Überprüfung von SID-Informationen bei Vertrauensstellungen
(2002-02-01 17:33:24+00)

Quelle: http://cert.uni-stuttgart.de/archive/bugtraq/2002/01/msg00375.html

Die vertrauende Domain überprüft die von einer vertrauten Domain erhaltenen Security Identifiers (SIDs) nicht auf deren Zuständigkeitsbereich. Ein Angreifer könnte SIDs seiner Wahl in die Authentisierungsdaten der vertrauten Domain hinzufügen und dadurch Domain-Administrator-Privilegien auf der vertrauenden Domain erhalten.

Betroffene Systeme

Einfallstor
Manipulierte Security Identifiers (SID)

Auswirkung
Verfügt ein Angreifer über administrative Privilegien auf einem Domain Controller, so kann er seine Privilegien gegenüber dieser Domain vertrauenden Systemen erweitern.

Typ der Verwundbarkeit
design flaw (fehlende Überprüfung der Zuständigkeitsbereiche übergebener SIDs)

Gefahrenpotential
sehr hoch (falls Vertrauensbeziehungen zu anderen Domains verhanden sind)
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Vertrauensbeziehungen zwischen Windows NT oder Windows 2000 Domains erlauben Benutzern einer vertrauten Domain (trusted domain) auf Resourcen der vertrauenden Domain (trusting domain) zuzugreifen. Versucht ein Benutzer der vertrauten Domain auf Resourcen der vertrauenden Domain zuzugreifen, übergibt der Primary Domain Controller (PDC) der vertrauten Domain eine Liste mit Security Identifiers (SIDs) an den PDC der vertrauenden Domain. Die SID-Liste beinhaltet die persönliche SID als auch die SIDs der globalen Gruppenzugehörigkeiten.

Durch einen Designfehler akzeptiert der Domain Controller einer vertrauenden Domain auch Authentisierungsdaten einer vertrauten Domain, für welche die vertraute Domain nicht ermächtigt ist. So kann die vertraute Domain Authentisierungsdaten übergeben, für welche sie nicht zuständig ist. Ein Angreifer, der in der Lage ist SID-Listen zu manipulieren, kann seine Privilegien auf vertrauende Damains erweitern und beispielsweise Domain-Administrator-Privilegien auf vertrauenden Domains erhalten.

Für die Manipulation von SIDs muss der Angreifer administrative Privilegien auf dem vertrauten Domain Controller besitzen oder sich Zugriff z.B. im Rahmen physikalischen Zugangs verschaffen.

Gegenmaßnahmen
In den von Microsoft zur Verfügung gestellten Security Roll-up Patches für Windows NT 4.0 und Windows 2000 ist ein sogenannter SID Filter implementiert. Durch Einsatz des SID Filters kann eine Filterung der SID Informationen auf Domain Controllern stattfinden. Die SID Filterung innerhalb eines Forest ist mit diesem Tool nicht vorgesehen und würde die notwendige Active Directory Replikation verhindern. Durch die Installation der nachfolgend angegebenen Sicherheitsupdates wird der SID Filter nicht automatisch aktiviert.

Hinweis: Der Einsatz des SID Filters sollte nur nach sorgfältiger Planung und Abwägung eingesetzt werden. Verweise auf weitere Information zu dem SID Filter finden Sie unter "Weitere Information".

Microsoft stellt sogenannte Security Roll-up Patches zur Verfügung, welche die Mehrzahl der bislang verfügbaren Sicherheitsupdates für Windows NT 4.0 seit SP6a bzw. Windows 2000 seit SP2 beinhaltet. Beachten Sie aber, dass diese Security Roll-up Patches nicht alle Sicherheitsupdates beinhalten. So fehlen insbesondere Sicherheitsupdates für den Internet Explorer.

Vulnerability ID

Weitere Information zu diesem Thema

(tf)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=680