Windows

Die Schwachstelle betrifft die Local Security Authority (LSA) von Microsoft Windows – jene Systemkomponente, die für Anmeldung und Authentifizierung zuständig ist. Es handelt sich um eine Spoofing-Lücke: Ein Angreifer kann sie ohne vorherige Anmeldung und ohne gültige Zugangsdaten ausnutzen. Dazu ruft er gezielt eine Methode der LSARPC-Schnittstelle auf, über die das Protokoll der Sicherheitsbehörde aus der Ferne angesprochen wird. Dadurch lässt sich ein Domänencontroller – der zentrale Server für die Benutzerverwaltung in Windows-Netzwerken – dazu nötigen, sich seinerseits bei einem anderen, vom Angreifer kontrollierten Server zu authentifizieren, und zwar über das NTLM-Verfahren. Der Angreifer erschleicht sich auf diese Weise die Authentifizierung einer fremden, höherwertigen Instanz. Besonders kritisch ist die zentrale Rolle des Domänencontrollers: Wird seine Authentifizierung umgelenkt, kann dies als Ausgangspunkt für die Ausweitung der Rechte im gesamten Netzwerk dienen.