Witold Kepinski - 11 december 2023

Akamai ontdekt kwetsbaarheid in Active Directory DNS Spoofing

Akamai Technologies Inc. heeft een potentiële cybersecuritydreiging onthuld met betrekking tot de combinatie van het Domain Name System (DNS), Active Directory en het Dynamic Host Configuration Protocol (DHCP).

Akamai ontdekt kwetsbaarheid in Active Directory DNS Spoofing image

Deze dreiging werd gesignaleerd door de beveiligingsonderzoeker Ori David van Akamai Technologies Inc. Het probleem draait om de manier waarop Microsoft Corp. DHCP DNS Dynamic Updates heeft samengesteld. DHCP is een zeer nuttig protocol dat automatisch TCP/UIP-adressen op een netwerk configureert, zodat geen twee apparaten hetzelfde adres hebben. De dynamische updatefunctie stelt een DHCP-server in staat DNS-records te maken of te wijzigen voor elk van zijn verbonden clients.

Het kernprobleem van deze dreiging schuilt in de woorden "wijzigen" en "elk", omdat deze woorden veel macht geven aan een potentiële aanvaller. Het dynamische updateproces vereist namelijk geen verdere authenticatie door de client, wat het mogelijk maakt om DNS-records te overschrijven en zo netwerkverkeer naar eigen servers te sturen.

Hoewel dit probleem op het eerste gezicht misschien obscuur lijkt, kan het aanzienlijke gevolgen hebben, aangezien Microsoft DHCP-services naar schatting draait in 40% van alle netwerken die Akamai monitort, waaronder veel grote zakelijke datacenters.

Het artikel gaat diep in op de constructie van de exploit en biedt gedetailleerde informatie over hoe dit voorkomen kan worden, bijvoorbeeld door het uitschakelen van DHCP DNS dynamische updates en het vermijden van het gebruik van DNS-updateproxygroepen.

Het is vermeldenswaardig dat Akamai de bevindingen aan Microsoft heeft gemeld, maar dat het bedrijf niet van plan is om het probleem op te lossen.

Een ander aspect van deze kwestie is de ondersteuning van verouderde Windows NTv4.0-clients, die volgens David niet meer op moderne netwerken zouden moeten worden gebruikt. Akamai verwijst naar een aangepaste PowerShell-tool waarmee potentiële risico's van DNS-misconfiguraties kunnen worden gecontroleerd.

De impact van deze aanvallen kan aanzienlijk zijn, aangezien het mogelijk is om DNS-records te overschrijven zonder enige vorm van authenticatie, wat aanvallers in staat stelt een "machine-in-the-middle" positie in te nemen op hosts in het domein. Dit kan leiden tot het onderscheppen van inloggegevens en het vastleggen van gevoelig verkeer, wat de beveiliging van Active Directory-domeinen in gevaar kan brengen en aanvallers kan helpen bij het verhogen van hun privileges.

Bron: ccinfo.nl en https://www.akamai.com/blog/security-research/spoofing-dns-by-abusing-dhcp

Schneider Electric BN BW start week 27 tm week 29 Leanix BW 19 febr tm 17 maart 2024
Schneider Electric BN start week 27 tm week 29

Wil jij dagelijkse updates?

Schrijf je dan in voor onze nieuwsbrief!