UPDATE: Zwangsaktivierung von Microsoft LDAP-Kanalbindung und -Signatur

Bekanntermaßen ist LDAP das Protokoll zur Verwaltung eines Active Directory. Administratoren verwalten damit die Benutzer, die Gruppenmitgliedschaften und vieles mehr. Nicht nur Exchange-Server fragen den Domain Controller nach der Attributen des Benutzers ab, sondern auch Firewalls, Drucker oder andere Systeme.

LDAP-Verbindungen sind somit ein interessantes Ziel für Hacker, um diese abzufangen und Aktionen zu fälschen. Dagegen helfen Signaturen und Verschlüsselungen.

Im Jahr 2017 hat Microsoft bereits ein Update der Clients und Server bereitgestellt, welches die LDAP-Kanalbindung sowie LDAP-Signierung hinzufügt, aber noch nicht erzwingt.

Zunächst hatte Microsoft vor, die LDAP-Signierung beim kommenden Patchday im März zu erzwingen, doch hat nun Microsoft den Termin auf Mitte bzw. Ende 2020 erneut verschoben. Ein genauer Termin steht somit noch nicht endgültig fest.

Daten, die nicht verschlüsselt werden, können immer mitgelesen werden. Falls die Signierung fehlt, können Pakete sogar in beide Richtungen verändert werden. Für Angreifer ist natürlich der schreibende Zugriff auf das Active Directory ziemlich interessant, um sich eigene Konten anzulegen oder Gruppenmitgliedschaften zu ändern. Dazu hat Microsoft 2017 ein eigenes Security Advisory (CVE-2017-8563 | Windows Elevation of Privilege Vulnerability) veröffentlicht. Darin steht auch, dass Microsoft keine “Workarounds” vorsieht.

Sind alle Systeme halbwegs aktuell, werden Sie keine Probleme mit den Windows Clients und Server bekommen, da diese bereits seit 2017 darauf eingestellt sind und alle Funktionen enthalten.

Probleme könnte es aber mit folgenden Systemen geben:

VoIP-Gateways

VoIP-Gateways beziehen ggf. die Rufnummer via LDAP vom Domain Controller, um die Anrufe zu Skype for Business, Teams oder einer TK-Anlage zu routen.

Scan2Mail

Professionelle Multifunktionsgeräte können eingescannte Dokumente per Mail als PDF/TIFF weiterleiten. Dafür kann der Anwender im Firmenadressbuch nach Personen suchen. Dazu wird meistens ein Dienstkonto mit Lese-Rechte und LDAP verwendet. Nach der Zwangsaktivierung wird zumindest das Adressbuch nicht mehr funktionieren.

AntiSpam-Systeme

AntiSpam-Systeme prüfen beim Erhalt von Mails aus dem Internet intern, ob der Empfänger tatsächlich vorhanden ist und kann so ohne einen NDR zu erzeugen ungültige Mails ablehnen. Dazu werden meistens mittels LDAP die Email-Adressen des Mailservers über einen Domain Controller eingelesen.

Access-Gateways, WebApp Auth, Reverse Proxy und andere 3rd Party Apps

Firewall-Systeme, Access-Gateways, Proxys bieten meist einen Webserver-Schutz an, welcher Dienste vor Angreifern schützt und nach Anmeldedaten fragt. Diese Daten werden dann über ein Formular oder Basic Authentification abgefragt und ein Login-Versuch am Domain Controller mittels LDAP durchgeführt. Beispiele wären hier Sophos, Citrix ADC (NetScaler), Apache oder Azure ATP.

Empfohlende Aktionen

  • Finden Sie alle Systeme, die noch ungesicherte LDAP-Verbindungen zum Domain Controller aufbauen
  • Prüfen Sie die Systeme auf Kompatibilität für LDAP-Kanalbindung und LDAP-Signierung
  • Stellen Sie alle LDAP-Verbindungen auf das verschlüsselte Protokoll um
  • Falls noch keine Enterprise-PKI (Zertifizierungsstelle) in der Domäne vorhanden ist, sollte diese installiert und konfiguriert werden, da LDAPS natürlich ein gültiges Zertifikat benötigt.