Einloggen auf heise online

    • News
    • heise Developer
    • heise Netze
    • heise Open Source
    • heise Security
    • c't
    • iX
    • Technology Review
    • c't Fotografie
    • Mac & i
    • Make
    • Telepolis
    • heise Autos
    • TechStage
    • tipps+tricks
    • heise Download
    • Preisvergleich
    • Whitepapers
    • Webcasts
    • Stellenmarkt
    • Karriere Netzwerk
    • Gutscheine
    • IT-Markt
    • Tarifrechner
    • Netzwerk-Tools
    • Spielen bei Heise
    • heise shop
    • heise Select
    • Artikel-Archiv
    • Zeitschriften-Abo
    • Veranstaltungen
    • Arbeiten bei Heise
    • Mediadaten
heise Security
sponsored by Logo HOB
  • News
    • Archiv
    • 7-Tage-News
  • Hintergrund
  • Events
  • Foren
  • Kontakt
  1. Security
  2. 7-Tage-News
  3. 07/2017
  4. Die Leier des Orpheus: Samba, Microsoft und andere fixen kritische…

Die Leier des Orpheus: Samba, Microsoft und andere fixen kritische Kerberos-Lücke

13.07.2017 13:43 Uhr Jürgen Schmidt
vorlesen
Die Leier des Oprheus: Samba, Microsoft und andere fixen kritische Kerberos-Lücke

Durch einen simplen Fehler bei der Nutzung von Kerberos können sich Angreifer im Netz Zugriffsrechte auf Dienste wie Dateifreigaben erschleichen. Betroffen sind sowohl Windows- als auch Linux-Server beziehungsweise deren Clients.

Kerberos ist ein Authentifizierungs-Dienst, der in Netzen den Zugriff auf Server-Dienste wie Dateifreigaben regelt. Sowohl die Open-Source-Implementierung Heimdal als auch die Closed-Source-Umsetzung von Microsoft weisen einen Fehler auf, der es einem Angreifer im Netz erlaubt, die Authentifizierung auszuhebeln. Microsoft nutzt Kerberos in allen Windows-Versionen und Samba bettet in Version 4 Heimdal-Code ein. Dank koordinierter Disclosure gibt es jedoch für alle betroffenen Systeme Patches.

Der Fehler beruht darauf, dass die anfälligen Kerberos-Clients den Dienst-Namen (sname) in einem Ticket des Kerberos-Schlüssel-Servers (Key Distribtion Center, KDC) falsch ermitteln. Statt den kryptographisch gesicherten Wert aus einem verschlüsselten Datenfeld (enc_part) zu nehmen, nutzen sie dazu den unverschlüsselten und ungesicherten Namen. Auf Grund dieser Nachlässigkeit kann ein Man-in-the-Middle im Netz den Namen fälschen und somit gegenüber dem Client einen legitimen Server vortäuschen. Der Heimdal-Patch dafür besteht aus zwei geänderten Codezeilen; Microsofts im Rahmen des Juli-Patchdays veröffentlichtes Update dürfte nicht viel komplizierter ausfallen.

Anzeige

Nicht einlullen lassen

Wie sich das genau ausnutzen lässt, erläutern weder die Security-Advisories von Microsoft, Heimdal und Samba noch die Entdecker der Lücke. Letztere postulieren immerhin, dass es auf diesem Weg unter anderem möglich sein soll, Nutzer-Credentials abzugreifen. Allerdings muss der Angreifer dazu bereits die Kommunikation zwischen Client und Kerberos-Server mitlesen und manipulieren können. Einig sind sich alle Parteien, dass es sich um ein ernstes Problem handelt, und man die verfügbaren Updates möglichst schnell einspielen sollte.

Die Entdecker der Lücke benannten sie nach der Leier mit der Opheus in der griechischen Mythologie den Höllenhund Kerberos besänftigte, um in die Unterwelt hinab zu steigen und seine geliebte Eurydike von Hades zurück zu fordern. Neben eigener Web-Site, Namen und Logo warten sie übrigens sogar mit einer etwa einminütigen – natürlich auf einer Leier gespielten – Weise auf.

Die wichtigsten Links im Überblick:

  • Beschreibung der Entdecker: Orpheus' Lyre puts Kerberos to Sleep
  • Microsoft: CVE-2017-8495 Kerberos SNAME Security Feature Bypass Vulnerability
  • Samba: CVE-2017-11103 Orpheus' Lyre mutual authentication validation bypass
  • Heimdal: CVE-2017-11103 Fix KDC-REP service name validation
  • Debian CVE-2017-11103
(ju)
Kommentare lesen (14 Beiträge)
https://heise.de/-3770761 Drucken
Mehr zum Thema:
Samba
Anzeige
Dienste
  • Security Consulter
  • Netzwerkcheck
  • Anti-Virus
  • Emailcheck
  • Browsercheck
  • Krypto-Kampagne
Anzeige
Alerts! alle Alert-Meldungen

Drupal

MikroTik RouterOS

Drupal (CKEditor)

Anzeige
Anzeige
  • Unter der Lupe: Hardware für den Endgeräteschutz
  • Wie Endgeräteschutz die IT-Sicherheit verbessert
  • Geldanlage: von Mensch und Maschine profitieren
  • Special: DSGVO Ratgeber
  • Arbeitgeber Bewerbungen: Heise Karriere-Netzwerk
  • enterJS: Die volle Bandbreite an JavaScript-Wissen
Artikel
Übersicht: Diese Webseiten bieten Zwei-Faktor-Authentifizierung

Übersicht: Diese Webseiten bieten Zwei-Faktor-Authentifizierung

Vor allem Online-Shops und soziale Netzwerke sollte neben dem Passwort noch einen zweiten Faktor zum Einloggen fordern. Eine Webseite zeigt übersichtlich an, welche Online-Services dieses Anmeldeverfahren bieten.

Lesetipp
Leben vom Verkauf geklauter Passwörter

Leben vom Verkauf geklauter Passwörter

Das Geschäft mit geleakten Login-Daten boomt: Betrüger machen damit innerhalb von wenigen Monaten mehrere 100.000 US-Dollar.

Lesetipp
Malware-Analyse - Do-It-Yourself

Malware-Analyse - Do-It-Yourself

Bauen Sie Ihre eigene Schadsoftware-Analyse-Sandbox, um schnell das Verhalten von unbekannten Dateien zu überprüfen. Dieser Artikel zeigt, wie das mit der kostenlosen Open-Source-Sandbox Cuckoo funktioniert.

Hintergrund
Neueste Forenbeiträge
  1. Re: backdoor
    Ich frage mich immer, wie Sucuri & vergleichbare Anbieter das machen... die bieten diese Backdoor-Säuberungen für WP und glaube auch Drupal ja…

    Forum:  Sicherheitspatch für extrem kritische Lücke in Drupal ist da

    deuteron hat keinen Avatar
    von deuteron; vor 15 Minuten
  2. Re: @heise.de: News umschreiben und SA-CORE-2018-004/CVE-2018-7602 erwähnen.
    @heise.de Es würde zusätzlich Sinn machen zu erwähnen, dass mit SA-CORE-2018-004 verwandte Angriffsvektoren auch bei relativ populären Modulen…

    Forum:  Sicherheitspatch für extrem kritische Lücke in Drupal ist da

    deuteron hat keinen Avatar
    von deuteron; vor 19 Minuten
  3. Re: Kann mir mit meiner selbstprogrammierten Homepage nicht passieren
    Ah, HTML scheint sich also in den letzten Jahren sehr stark weiterentwickelt zu haben. Ich wusste gar nicht, dass ich in HTML dynamischen…

    Forum:  Sicherheitspatch für extrem kritische Lücke in Drupal ist da

    RebelSoldier hat keinen Avatar
    von RebelSoldier; vor 19 Minuten
nach oben
News und Artikel
  • News
  • 7-Tage-News
  • News-Archiv
  • Hintergrund-Artikel
  • Alert-Meldungen
Service
  • Newsletter
  • Tools
  • Foren
  • RSS
  • mobil
Dienste
  • Security Consulter
  • Netzwerkcheck
  • Anti-Virus
  • Emailcheck
  • Browsercheck
  • Krypto-Kampagne
  • Datenschutzhinweis
  • Impressum
  • Kontakt
  • Mediadaten
  • 2238969
  • Content Management by InterRed
  • Copyright © 2018 Heise Medien