darkjoda 0 Geschrieben 27. März 2023 Melden Teilen Geschrieben 27. März 2023 Hallo zusammen, es wurden Pentests auf verschiedene Systeme gemacht. Ein Finding war bei alles gleich und betrifft die AD. Es ist möglich auf Grund der Antwortzeiten rauszufinden ob es den Benutzer gibt oder nicht. Heißt der DC hat bei existierten Benutzern mit falschen Passwort die Antwort in 100 ms gegeben. War der Benutzer nicht existent dauerte die Antwort 500 ms. So ist es einen Angreifer möglich zu erkennen ob die Konten überhaupt existieren. Wie kann ich dem DC ein gleiches Antwortverhalten vorschreiben. Also bei falschen Passwort mit der Antwort min. 500 ms warten oder so? Anders gefragt: hat jemand eine Idee was ich machen kann? Zitieren Link zu diesem Kommentar
testperson 1.707 Geschrieben 27. März 2023 Melden Teilen Geschrieben 27. März 2023 Hi, hier wäre die Frage von wo nach wo was "gepentestet" wurde. Ansonsten schockiert dich das in der PowerShell ([adsisearcher]"objectClass=user").FindAll() hoffentlich nicht. Gruß Jan Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 27. März 2023 Melden Teilen Geschrieben 27. März 2023 Moin, darüber hinaus wäre die Frage zu stellen, wie relevant das "Finding" überhaupt ist. Pentester schreiben gern mal was auf, wenn sie es gefunden haben, aber das heißt noch lange nicht, dass das in der jeweiligen Situation ein Risiko wäre. Wer kommt denn überhaupt so nah an das AD ran, dass er diese Messung zuverlässig durchführen könnte? Und wenn er so nah dran ist, wie wahrscheinlich ist es, dass er diesen Weg überhaupt gehen muss? Mir wäre nicht bekannt, dass man das steuern kann. Das heißt nicht, dass es nicht geht. Aber für mich klingt das nach etwas, was der Hersteller lösen müsste und nicht das Anwenderunternehmen. Gruß, Nils Zitieren Link zu diesem Kommentar
cj_berlin 1.329 Geschrieben 27. März 2023 Melden Teilen Geschrieben 27. März 2023 Naja, anonym listen kann ich das AD normalerweise nicht. Das heißt, für das Szenario "gepatchte Netzwerkdose auf der Toilette" wäre es schon relevant... Zitieren Link zu diesem Kommentar
testperson 1.707 Geschrieben 27. März 2023 Melden Teilen Geschrieben 27. März 2023 vor 6 Minuten schrieb cj_berlin: Das heißt, für das Szenario "gepatchte Netzwerkdose auf der Toilette" wäre es schon relevant... Da liegt das Problem dann aber ganz wo anders und eine "Lösung" durch Manipulation der Antwortzeiten wäre lediglich ein Würgaround. Zumindest in meinen Augen. Zitieren Link zu diesem Kommentar
cj_berlin 1.329 Geschrieben 27. März 2023 Melden Teilen Geschrieben 27. März 2023 Sehe ich anders. 75% jeder Härtung ist das Unsichtbarmachen der Löcher, die zu schließen im Moment nicht möglich ist. Anonymer Netzzugang wäre auch das Szenario "Log4j auf nicht-Member", und das kann nur behandelt werden, wenn die Vuln auch bekannt ist. Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 27. März 2023 Melden Teilen Geschrieben 27. März 2023 (bearbeitet) Moin, ich sage ja gar nicht, dass das nicht relevant sein kann. Die Frage, die am Ende nur der TO bzw. seine Firma beantworten kann, bleibt aber trotzdem: Ist das im konkreten Gesamtzusammenhang relevant? Viele Firmen, deren Netzwerke ich kenne, müssten das realistisch mit "nein" beantworten, weil es auf der Liste relevanter Dinge nicht vor Position 100 auftaucht. Und wenn das Thema weiter vorne steht - dann wäre zu prüfen, ob man das überhaupt selbst im Griff hat oder ob Microsoft das tun muss. Ich würde da im Zweifel ganz stumpf die Pentester fragen, ob ihnen ein Weg bekannt ist, wenn sie das schon testen. Gruß, Nils bearbeitet 27. März 2023 von NilsK Zitieren Link zu diesem Kommentar
mwiederkehr 382 Geschrieben 27. März 2023 Melden Teilen Geschrieben 27. März 2023 Es gibt Metasploit-Module zur Auflistung von Benutzern bei OWA und RDWeb. Soweit ich es den entsprechenden Websites entnehmen konnte, ist das Problem bei Microsoft bekannt, wird jedoch als nicht schwerwiegend genug erachtet, um eine Lösung anzubieten. Ich würde, wie Nils vorgeschlagen hat, die Pentester fragen. Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 27. März 2023 Melden Teilen Geschrieben 27. März 2023 vor 17 Minuten schrieb mwiederkehr: Ich würde, wie Nils vorgeschlagen hat, die Pentester fragen. Die Antwort würde uns hier alle sicherlich interessieren. :) Zitieren Link zu diesem Kommentar
darkjoda 0 Geschrieben 27. März 2023 Autor Melden Teilen Geschrieben 27. März 2023 (bearbeitet) Moin, ich glaube ich wurde etwas falsch verstanden. Es wurde nicht die AD getestet. Sondern Tools die von intern und extern erreichbar sind. Also Anmeldefenster von z.B. Webapplikationen. Und es ist für uns ein Problem, wenn man die Benutzer von nicht Benutzern unterscheiden kann. Da man so gezielt auf Accounts die existieren Attacken fahren kann. Ich kann nur nicht jede einzelne Applikation absichern. Ich möchte das am Übeltäter selber machen. P.S.: Die Pentester geben nicht immer einen Lösungsvorschlag. Ist auch nicht ihre Aufgabe... bearbeitet 27. März 2023 von darkjoda Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 27. März 2023 Melden Teilen Geschrieben 27. März 2023 Moin, na, dann ist das aber eine ganz andere Aufgabe. Und ob da das AD wirklich die richtige Stelle ist ... In dem Fall ist ja mindestens eine weitere Komponente beteiligt, die in den meisten Fällen wohl selbst für den größten Teil der Verzögerung verantwortlich sein dürfte. Und genau dort (z.B. an dem Webinterface zum Login) müsste man IMHO ansetzen, nicht beim AD. Wobei, wenn ich mir das noch mal erlauben darf, in dem Szenario die Praxisrelevanz des Findings noch geringer sein dürfte. Bei dem, was im Netzwerk real zwischen Angreifer und AD ist, dürften die Messergebnisse kaum etwas aussagen. Zu dem technischen Anteil der Frage kann ich sonst aber hier nix beitragen. Spontan fiele mir MFA ein, weil da so viel Verzögerung dazu kommt, dass der Unterschied mit Sicherheit nicht mehr feststellbar ist. Gruß, Nils 1 Zitieren Link zu diesem Kommentar
darkjoda 0 Geschrieben 27. März 2023 Autor Melden Teilen Geschrieben 27. März 2023 vor 4 Stunden schrieb NilsK: na, dann ist das aber eine ganz andere Aufgabe. Und ob da das AD wirklich die richtige Stelle ist ... Es sind gegenwertig drei Appliaktionen untersciedlister Art. Und auch wenn ich direkt auf die AD gehe bekomme ich das gleiche verhalten... Danke für eure Vorschläge. Auf so einfache Lösungen wie MFA bin ich auch schon gekommen. Leider geht dies nicht bei allen Anwendungen. Daher muss ich das Problem bei der Wurzel packen. Danke für die Antowrten, aber ich glaube hier kann mir keiner Helfen. Zitieren Link zu diesem Kommentar
testperson 1.707 Geschrieben 27. März 2023 Melden Teilen Geschrieben 27. März 2023 Im "Worst-Case" pack etwas wie eine Web Application Firewall / Reverse Proxy mit Pre-Authentication vor die drei Applikationen. Alternativer Ansatz: Pack ein Gateway à la Citrix ADC davor und veröffentliche die Web Applikationen bspw. im Unified Gateway. Evtl. wäre auch direkt die Veröffentlichung per Citrix Gateway und Cirtix Virtual Apps & Desktops ein Weg. Generell müsste man jetzt aber etwas mehr über die drei Anwendungen wissen. Zitieren Link zu diesem Kommentar
Beste Lösung NilsK 2.957 Geschrieben 27. März 2023 Beste Lösung Melden Teilen Geschrieben 27. März 2023 Moin, wenn ihr einen passenden Supportlevel bei Microsoft habt, kannst du dich dorthin wenden. Ich denke, das dürfte bei diesem speziellen Anliegen der einzig realistische Weg sein. Gruß, Nils 1 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.