Microsoft verwacht misbruik van kritieke Windows Kerberos-kwetsbaarheid

[Captain Kirk]

Microsoft verwacht dat aanvallers misbruik zullen gaan maken van een kritieke Kerberos-kwetsbaarheid in Windows waarvoor gisteren beveiligingsupdates verschenen. Kerberos is een authenticatieprotocol dat vaak wordt gebruikt om gebruikers of hosts in Windowsomgevingen te authenticeren. Het is ook het authenticatieprotocol gebruikt in Active Directory-implementaties. Duizenden organisaties en bedrijven wereldwijd maken gebruik van Active Directory om gebruikersgroepen en rechten te definiëren en netwerkvoorzieningen beschikbaar te maken.

Tijdens de eerste patchdinsdag van 2024 kwam Microsoft met beveiligingsupdates voor 49 kwetsbaarheden, waarvan er twee als kritiek zijn aangemerkt. De Kerberos-kwetsbaarheid (CVE-2024-20674) heeft de hoogste impactscore gekregen, een 9.0 op een schaal van 1 tot en met 10. Via het beveiligingslek kan een ongeauthenticeerde aanvaller man-in-the-middle (MiTM) aanvallen uitvoeren waarbij hij een Kerberos-authenticatiesever spooft.

Een aangevallen client ontvangt in dit geval een bericht van de aanvaller dat van de echte Kerberos-authenticatieserver afkomstig lijkt. Een aanvaller zou hiervoor wel eerst toegang tot het netwerk moeten krijgen. Microsoft omschrijft de kwetsbaarheid als een " Security Feature Bypass". Dergelijke beveiligingslekken krijgen meestal een lagere impactscore, maar in dit geval gaat het volgens Microsoft om een kritieke kwetsbaarheid.

Daarnaast verwacht het techbedrijf dat aanvallers er misbruik van zullen gaan maken. "Exploitation more likely", aldus Microsoft eigen Exploitability Index. Volgens de uitleg zijn soortgelijke kwetsbaarheden in het verleden vaker misbruikt, wat het een aantrekkelijk doelwit voor aanvallers maakt en het daardoor waarschijnlijker is dat er ook exploits zullen verschijnen. Organisaties die van Kerberos gebruikmaken moeten deze kwetsbaarheid dan ook met een hogere prioriteit behandelen, aldus Microsoft.

 

bron: https://www.security.nl