Die Leier des Orpheus: Samba, Microsoft und andere fixen kritische Kerberos-Lücke

Durch einen simplen Fehler bei der Nutzung von Kerberos können sich Angreifer im Netz Zugriffsrechte auf Dienste wie Dateifreigaben erschleichen. Betroffen sind sowohl Windows- als auch Linux-Server beziehungsweise deren Clients.

Kerberos ist ein Authentifizierungs-Dienst, der in Netzen den Zugriff auf Server-Dienste wie Dateifreigaben regelt. Sowohl die Open-Source-Implementierung Heimdal als auch die Closed-Source-Umsetzung von Microsoft weisen einen Fehler auf, der es einem Angreifer im Netz erlaubt, die Authentifizierung auszuhebeln. Microsoft nutzt Kerberos in allen Windows-Versionen und Samba bettet in Version 4 Heimdal-Code ein. Dank koordinierter Disclosure gibt es jedoch für alle betroffenen Systeme Patches.

Der Fehler beruht darauf, dass die anfälligen Kerberos-Clients den Dienst-Namen (sname) in einem Ticket des Kerberos-Schlüssel-Servers (Key Distribtion Center, KDC) falsch ermitteln. Statt den kryptographisch gesicherten Wert aus einem verschlüsselten Datenfeld (enc_part) zu nehmen, nutzen sie dazu den unverschlüsselten und ungesicherten Namen. Auf Grund dieser Nachlässigkeit kann ein Man-in-the-Middle im Netz den Namen fälschen und somit gegenüber dem Client einen legitimen Server vortäuschen. Der Heimdal-Patch dafür besteht aus zwei geänderten Codezeilen; Microsofts im Rahmen des Juli-Patchdays veröffentlichtes Update dürfte nicht viel komplizierter ausfallen.

Nicht einlullen lassen

Wie sich das genau ausnutzen lässt, erläutern weder die Security-Advisories von Microsoft, Heimdal und Samba noch die Entdecker der Lücke. Letztere postulieren immerhin, dass es auf diesem Weg unter anderem möglich sein soll, Nutzer-Credentials abzugreifen. Allerdings muss der Angreifer dazu bereits die Kommunikation zwischen Client und Kerberos-Server mitlesen und manipulieren können. Einig sind sich alle Parteien, dass es sich um ein ernstes Problem handelt, und man die verfügbaren Updates möglichst schnell einspielen sollte.

Die Entdecker der Lücke benannten sie nach der Leier mit der Opheus in der griechischen Mythologie den Höllenhund Kerberos besänftigte, um in die Unterwelt hinab zu steigen und seine geliebte Eurydike von Hades zurück zu fordern. Neben eigener Web-Site, Namen und Logo warten sie übrigens sogar mit einer etwa einminütigen ? natürlich auf einer Leier gespielten ? Weise auf.

Die wichtigsten Links im Überblick:

(ju)

guck hier mehr…

  • re:publica: Mit den Trollen tanzen

    Freitagmittag in Kreuzberg. Noch 70 Stunden. Das W-Lan funktioniert schon mal. Gilt hier als mit das Wichtigste. Wo jetzt noch Gabelstapler fahren und Techniker Kabel verlegen, soll am kommenden Montag Europas größte Digitalkonferenz beginnen. In Halle vier ziehen die Trockenbauer gerade zwei Gipswände mit Dämmwolle ein. “Keine Panik”, sagt Andreas Gebhard, “wir sind im Zeitplan.” […]

  • Türkei: Gericht in Ankara bestätigt Sperre von Wikipedia

    Ein türkisches Gericht hat den Einspruch der Wikimedia-Stiftung gegen die Blockade der Website abgelehnt. Damit bleibt Wikipedia in der Türkei gesperrt. Die Website Wikipedia bleibt in der Türkei gesperrt. © Gary Cameron/Reuters Das Onlinelexikon Wikipedia bleibt in der Türkei gesperrt. Ein Gericht in Ankara hat eine Beschwerde der Wikimedia-Stiftung zurückgewiesen. Das berichtet die staatliche Medienagentur Anadolu. […]

  • Sonnenanbieter: Zehn Reiseportale im Test

    Günstig, fair und gut ? welcher Online-Reiseanbieter macht 2017 das Rennen? Reisebuchungen im Internet verlaufen für geübte Nutzer nach Schema F: Reisedaten eingeben, Wunsch-Angebot finden, Preise vergleichen, Schnäppchen entdecken, buchen ? und fertig. Einige besonders routinierte Online-Bucher haben inzwischen sogar schon ihren persönlichen Favoriten und buchen am liebsten immer wieder bei demselben Anbieter, weil es […]

  • the next big thing: Einführung in Node.js, Folge 17: Streams verwenden

    the next big thing 08.05.2017?10:44 UhrGolo Roden Der in der Community bekannte Entwickler Dominic Tarr hat einmal gesagt, Streams seien das beste und zugleich das am wenigsten verstandene Konzept von Node.js. Daher lohnt es sich, die Grundlagen von Streams kennenzulernen. Wie funktionieren Streams, was können sie leisten, und worauf gilt es zu achten? Ein Streams […]

  • Pwned per Untertitel: Viele Mediaplayer führen Schadcode in Subtitle-Dateien aus

    (Bild: Checkpoint) Forscher haben Lücken in Kodi, VLC, Popcorn Time und Stremio entdeckt, über die sie mit Hilfe von Untertitel-Daten Schadcode ausführen können. Auf diesem Wege gelang es ihnen, den Rechner des Opfers zu kapern. Viele beliebte Mediaplayer sind über Schwachstellen bei der Verarbeitung von Untertitel-Dateien angreifbar. Auf diesem Wege lässt sich mit den Playern von […]