Windows

Die Schwachstelle betrifft die Local Security Authority (LSA) von Microsoft Windows – jene zentrale Komponente, die unter Windows für Anmeldung und Authentifizierung zuständig ist. Es handelt sich um eine Spoofing-Lücke: Ein Angreifer kann eine Authentifizierung vortäuschen beziehungsweise erzwingen. Konkret lässt sich ein Domänencontroller – also der Server, der in einem Windows-Netzwerk die Benutzer- und Rechteverwaltung steuert – dazu bringen, sich über das veraltete NTLM-Verfahren beim Angreifer zu authentifizieren. Der Angreifer fängt damit die Authentifizierung einer hochprivilegierten Systemkomponente ab und kann sie weiterverwenden, um sich gegenüber anderen Diensten als der Domänencontroller auszugeben. Da der Domänencontroller das Herzstück der Zugriffssteuerung in einer Windows-Domäne bildet, eröffnet ein solcher Identitätsmissbrauch den Weg zur weiteren Ausbreitung im Netzwerk und zur Kompromittierung weiterer Systeme. Betroffen sind Windows-Umgebungen mit Domänencontrollern, in denen NTLM erreichbar ist.