Die Leier des Orpheus: Samba, Microsoft und andere fixen kritische Kerberos-Lücke

Durch einen simplen Fehler bei der Nutzung von Kerberos können sich Angreifer im Netz Zugriffsrechte auf Dienste wie Dateifreigaben erschleichen. Betroffen sind sowohl Windows- als auch Linux-Server beziehungsweise deren Clients.

Kerberos ist ein Authentifizierungs-Dienst, der in Netzen den Zugriff auf Server-Dienste wie Dateifreigaben regelt. Sowohl die Open-Source-Implementierung Heimdal als auch die Closed-Source-Umsetzung von Microsoft weisen einen Fehler auf, der es einem Angreifer im Netz erlaubt, die Authentifizierung auszuhebeln. Microsoft nutzt Kerberos in allen Windows-Versionen und Samba bettet in Version 4 Heimdal-Code ein. Dank koordinierter Disclosure gibt es jedoch für alle betroffenen Systeme Patches.

Der Fehler beruht darauf, dass die anfälligen Kerberos-Clients den Dienst-Namen (sname) in einem Ticket des Kerberos-Schlüssel-Servers (Key Distribtion Center, KDC) falsch ermitteln. Statt den kryptographisch gesicherten Wert aus einem verschlüsselten Datenfeld (enc_part) zu nehmen, nutzen sie dazu den unverschlüsselten und ungesicherten Namen. Auf Grund dieser Nachlässigkeit kann ein Man-in-the-Middle im Netz den Namen fälschen und somit gegenüber dem Client einen legitimen Server vortäuschen. Der Heimdal-Patch dafür besteht aus zwei geänderten Codezeilen; Microsofts im Rahmen des Juli-Patchdays veröffentlichtes Update dürfte nicht viel komplizierter ausfallen.

Nicht einlullen lassen

Wie sich das genau ausnutzen lässt, erläutern weder die Security-Advisories von Microsoft, Heimdal und Samba noch die Entdecker der Lücke. Letztere postulieren immerhin, dass es auf diesem Weg unter anderem möglich sein soll, Nutzer-Credentials abzugreifen. Allerdings muss der Angreifer dazu bereits die Kommunikation zwischen Client und Kerberos-Server mitlesen und manipulieren können. Einig sind sich alle Parteien, dass es sich um ein ernstes Problem handelt, und man die verfügbaren Updates möglichst schnell einspielen sollte.

Die Entdecker der Lücke benannten sie nach der Leier mit der Opheus in der griechischen Mythologie den Höllenhund Kerberos besänftigte, um in die Unterwelt hinab zu steigen und seine geliebte Eurydike von Hades zurück zu fordern. Neben eigener Web-Site, Namen und Logo warten sie übrigens sogar mit einer etwa einminütigen ? natürlich auf einer Leier gespielten ? Weise auf.

Die wichtigsten Links im Überblick:

(ju)

guck hier mehr…

  • Developer Snapshots: Programmierer-News in ein, zwei Sätzen

    heise Developer fasst jede Woche bisher vernachlässigte, aber doch wichtige Nachrichten zu Tools, Spezifikationen oder anderem zusammen ? dieses Mal u.a. mit PHP, GitLab, der CryEngine, NativeScript-Trainings, Rails und dem AWS Toolkit for Eclipse. Hier die durchaus subjektive Auswahl an Nachrichten der vergangenen Woche: Das Rails-Team hat mit Version 5.0.4 und dem Release Candidate zu […]

  • OnePlus 5: Trickst der Hersteller bei den Benchmarks?

    Testfazit: Das müssen Sie wissen Das OnePlus 5 ist ein gelungenes Technik-Update ? gehört zu den schnellsten und stilvollsten Android-Smartphones überhaupt. Überfällig: Endlich kommt die clevere Idee einer Dual Kamera mit Telezoomauch ins Android-Lager. Im ersten Test überzeugte die Kamera zumindest bei Tageslicht. Pro Hochwertige Verarbeitung Riesiger Arbeitsspeicher Großer interner Speicher Dual Kamera mit Tele-Zoom […]

  • Google Chrome vertraut StartCom- und WoSign-Zertifikaten nicht mehr

    Die noch für diesen Monat angekündigte Beta-Version von Chrome soll den von StartCom und WoSign ausgestellten Zertifikaten nicht mehr vertrauen. Ab der Chrome-Version 61 soll der Webbrowser keine SSL-/TLS-Zertifikate mehr von den Zertifizierungsstellen (CA) StartCom und WoSign annehmen. Diesen finalen Schritt kündigte nun ein Chrome-Entwickler auf der offiziellen Mailingliste an. Die Beta-Version von Chrome 61 […]

  • Erfolge für Kieselbronn auf dem Kunstrad

    Rimpar. In Rimpar bei Würzburg fanden die deutschen Meisterschaften der Junioren im Kunstradfahren statt. Aus der Region hatten sich vom RSC 2000 Kieselbronn die Mannschaften im 6er-Einradfahren mit Jessica Hahn, Lisa Hohmann, Ronja Katz, Michelle Rominger, Luzie Sauter und Carolin Schlüter sowie im 4er-Einradfahren mit Lisa Hohmann, Michelle Rominger, Luzie Sauter und Carolin Schlüter qualifiziert. […]

  • Mac-Version von Handbrake mit Malware verteilt

    Handbrake hatte 2016 nach 13 Jahren seine Betaphase verlassen. Einer der Mirror-Server des populären Open-Source-Videoencoders wurde gehackt. macOS-Nutzer sollten prüfen, ob sie sich einen Datenschädling eingefangen haben, der Passwörter entwendet. Einer der Mirror-Server der Mac-Version des beliebten Open-Source-Videotools Handbrake hat über mehrere Tage eine mit Malware infizierte Version der App verteilt. Das teilten die Entwickler […]