Active Directory

Die Schwachstelle steckt in den Active Directory Domain Services von Microsoft, dem Verzeichnisdienst, über den Windows-Netzwerke Benutzer, Computer und Berechtigungen zentral verwalten. Voraussetzung für einen Angriff ist, dass der Angreifer bereits über ein gültiges, angemeldetes Konto verfügt. Mit diesem kann er die Eigenschaften (Attribute) von Computerkonten verändern, die ihm gehören oder die er verwaltet. Durch diese gezielte Manipulation lässt sich anschließend bei den Active Directory Certificate Services ein Zertifikat anfordern, das auf eine fremde, höher privilegierte Identität ausgestellt ist. Mit diesem Zertifikat hebt der Angreifer seine Rechte bis auf die Ebene SYSTEM an – das höchste lokale Rechtekonto unter Windows mit nahezu uneingeschränktem Zugriff. Aus einem einfachen Domänenkonto wird so faktisch die vollständige Kontrolle. Betroffen sind Windows-Umgebungen, die Active Directory zusammen mit der Zertifikatdienst-Komponente einsetzen.