Forscher bei Akamai haben eine neue Methode aufgedeckt, die Millionen von Windows-Domänen gefährden könnte, indem sie die Gruppe der DHCP-Administratoren ausnutzt, um in Active Directory (AD)-Umgebungen Privilegien zu erweitern. Der DHCP-Server, ein zentrales Element im Netzwerkmanagement, ist dafür zuständig, Geräten im Netzwerk IP-Adressen zuzuweisen. Die Installation dieser Serverrolle auf einem Domain Controller (DC) kann jedoch, wie die Forscher herausfanden, missbraucht werden, um Angreifern Domänen-Admin-Rechte zu verleihen – ein besonders heimtückisches Risiko, da es sich nicht um eine traditionelle Schwachstelle handelt, sondern um den Missbrauch legitimer Funktionen.
Mit einem Anteil von etwa 40% von Microsoft-DHCP-Servern in den von Akamai überwachten Netzwerken ist das potenzielle Risiko enorm. Neben der Privilegienerweiterung kann diese Technik auch für eine unauffällige dauerhafte Präsenz im Netzwerk missbraucht werden, was eine erhebliche Bedrohung für die Sicherheit von Organisationen darstellt.
Die Technik, genannt „DHCP Coerce“, ermöglicht es Angreifern, einen DHCP-Server dazu zu bringen, sich mit einer Maschine zu authentifizieren, die sie kontrollieren. Dies kann dann in einem Kerberos-Relay-Angriff ausgenutzt werden, um die Kontrolle über den Server zu erlangen. Wenn AD Certificate Services im Umfeld genutzt werden, kann dies zu einem vollständigen Kompromiss der Domäne führen.
Diese Entdeckung unterstreicht die Bedeutung von Wachsamkeit in der Netzwerksicherheit. Organisationen werden dazu aufgefordert, ihre DHCP-Serverkonfigurationen zu überprüfen, insbesondere jene, die auf DCs installiert sind, und die empfohlenen Schutzmaßnahmen umzusetzen. In einer sich ständig weiterentwickelnden digitalen Landschaft ist es entscheidend, dass Sicherheitsexperten diesen Bedrohungen immer einen Schritt voraus sind, um die Integrität und Sicherheit ihrer Netzwerke zu gewährleisten.
