Benjamin Delpy hat wieder zugeschlagen. Seine Aufmerksamkeit richtete sich diesmal auf das betagte SCCM1. Entwickelt in den späten 90ern blickt es auf eine wechselvolle Geschichte mit einigen Irrungen und Wirrungen zurück. Genauso sieht leider auch die Security dahinter aus, die bestenfalls mit “vergammelt” zu bezeichnen ist, wenn die Crypto zur Kommunikation mit Clients nur 3DES2 benutzt3.
Das Video von einem aktuellen Windows 2019 Server mit RDS/RDP Terminalservices spricht für sich. Keine vorherige Code Injection, keine zuvor installierten Tools oder Libraries - einfach nur mimikatz4 auf einem beliebigen, mit dem Terminalserver verbundenen AD-Rechner und alle Kennwörter der aktuell angemeldeten Benutzer werden in Klartext sichtbar5.
Mimikatz liest nach Auskunft von Benjamin Delpy die Passwörter direkt aus dem Speicher des Terminalservers aus. Bisher getestet ist dieses auf aktuellen Windows Terminalservern 2016/2019 sowie Windows 10 LTSC. Weitere Tests bestätigen auch 2012R2 sowie Windows 10 21H1. Mit Release vom 18.05.20216 können auch die PINs von Smartcards in Klartext am Server ausgelesen werden. Externe Credential-Provider (z.B. PrivacyIDEA) sind bisher nicht betroffen.
Die große Preisfrage: Warum mißachtet Microsoft branchenübliche Best-Practice und hält Benutzerkennwörter und Smartcard PINs (!!!) angemeldeter Benutzer ungeschützt und für jeden in Klartext lesbar im Haupspeicher?
Die nächsten Wochen und Monate versprechen spannend zu werden. Es ist ja nicht so, dass ich seit Jahrzehnten propagiere, Windows-AD Netze isoliert und nur hinter kontrollierbaren Linux-Application-Gateways oder Proxies wegzusperren. Die Praxis in vielen Unternehmen sieht leider so aus, dass alles in ein AD integriert wird, was nicht bei Drei auf einem Baum ist. Gut sichtbar wird das bei Unternehmen, die bei einem Ransomware-Vorfall auch nicht mehr telefonisch erreichbar sind.
Wenn ich mich selbst aus dem letzten Jahr zitieren darf, wo ich mich zu Homeoffice-Arbeitsplätzen einlasse und wie diese sinnvoll und nachhaltig auf Fachanwendungen auf einem RDS/RDP Terminalserver zugreifen können7:
Für mich sind Terminalserver mit freien HTTPS-Gateways unverzichtbarer Bestandteil einer zukunftsfähigen Entwicklung.
Told you so!
In diesem Sinne,
Viel Spaß!
Update vom 18.05.2021
Weitere Informationen ergänzt (Smartcard PINs, Win 2012R2, Win 10 21H1)
https://en.wikipedia.org/wiki/Microsoft_System_Center_Configuration_Manager ↩︎
https://docs.microsoft.com/en-us/mem/configmgr/core/plan-design/security/cryptographic-controls-technical-reference ↩︎
https://twitter.com/gentilkiwi/status/1393986751501307906#m ↩︎
https://github.com/gentilkiwi/mimikatz/releases/tag/2.2.0-20210518 ↩︎
http://blog.jakobs.systems/blog/guacomole-terminalserver/ ↩︎