LDAP-Security: Microsoft aktiviert digitale Signaturen und Verschlüsselung im Update März 2020
In einer aktuellen LDAP-Sicherheitsempfehlung von Microsoft (ADV190023) rät der Hersteller allen Administratoren, umgehend die LDAP-Kanalbindung und LDAP-Signatur auf Active Directory-Domänencontrollern zu aktivieren, um ungesicherte Verbindungen zu verhindern und gesicherte Verbindungen zu erzwingen. Standardkonfigurationen, über die LDAP-Clients mit den Active Directory-Domänencontrollern ungesichert kommunizieren, bieten ein hohes Angriffspotenzial, so Microsoft.
Mit dem im März 2020 erscheinenden Sicherheitsupdate werden die LDAP-Kanalbindung und die LDAP-Signatur auf dem Active Directory-Domänencontroller standardmässig aktiviert. Das Patch sorgt dafür, dass unverschlüsselte bzw. unsignierte LDAP-Abfragen gegen Windows-Domänencontroller geblockt werden.
Dies wiederum wird negative Auswirkungen für die IT-Benutzer haben, welche auf solche LDAP-Abfragen wie z.B. aus Telefonanlagen, Kopierstationen usw. unbewusst zurückgreifen.
Hintergrund
LDAP ist eine Kernfunktion des Active Directory. Im Active Directory stellt das LDAP-Verzeichnis die Informationen über Benutzer, Computer und deren Gruppenzugehörigkeit bereit. Aber auch andere Objekte, wie zum Beispiel die Zertifikate eines Computers, werden in dem Verzeichnis gespeichert. Per LDAP fragen zudem Exchange Server den Domaincontroller nach der Mailadresse von Empfänger ab. Damit sind LDAP Verbindungen ein interessantes Ziel für Angreifer.
In vielen Standardkonfigurationen erfolgen LDAP-Verbindungen zu Domain Controllern mit der Übertragung der Anmeldeinformationen im Klartext und ohne digitale Signatur. Damit sind diese LDAP-Verbindungen unter anderem für Replay Angriffe und Man-In-The-Middle Angriffe anfällig. Ein Angreifer kann leicht Daten zur Authentifizierung und Zugriffskontrolle abfangen, Pakete in der Netzwerkkommunikation zwischen Client und Server ändern und sie anschliessend an den LDAP-Server weiterleiten.
Abhilfe gegen die Fälschung von LDAP-Aktionen schaffen digitale Signaturen und Verschlüsselung. Daher hat Microsoft schon vor einiger Zeit diese Funktionen per Update für Clients und Server bereitgestellt, aber noch nicht erzwungen.
Durch die jetzt empfohlene Aktivierung der LDAP-Kanalbindung und LDAP-Signatur werden Active Directory-Domänencontroller so konfiguriert, dass Verbindungen entweder signiert werden oder über SSL/TLS erfolgen müssen. SASL-LDAP-Bindungen (Simple Authentication and Security Layer), die keine Signaturen anfordern (Integritätsüberprüfung), oder einfache LDAP-Bindungen, die über eine Klartextverbindung (ohne SSL/TLS-Verschlüsselung) vorgenommen werden, werden abgelehnt.
Übergangsfrist zum Auffinden von Kompatibilitätsproblemen
Sinn und Zweck der jetzigen Sicherheitsempfehlung ist, den Administratoren bis zum Erscheinen des Windows-Updates im März 2020 die Gelegenheit zu geben, Betriebssysteme, Anwendungen oder Kompatibilitätsprobleme mit Geräten in ihrer Umgebung zu finden und zu beheben.
„Wenn ein Kompatibilitätsproblem gefunden wird, muss mit dem Hersteller des jeweiligen Betriebssystems, der jeweiligen Anwendung oder des jeweiligen Geräts eine Lösung gefunden werden“, heisst es in der offiziellen Sicherheitsempfehlung von Microsoft.
Betroffen von dieser Sicherheitsoptimierungsänderung seien wahrscheinlich alle Betriebssystemversionen, Anwendungen und Zwischengeräte, die eine Man-in-the-Middle-Überprüfung des LDAP-Datenverkehrs durchführen.
arcade bearbeitet aktuell dieses Thema aktiv mit ihren Kunden, damit die betroffenen Lieferanten bzw. Systeme die Interoperabilität sicherstellen können.