Im Oktober 2024 wurde eine kritische Sicherheitslücke in One Identity Safeguard für Privileged Sessions (SPS) veröffentlicht, die unter der CVE-2024-40595 registriert ist. Diese Schwachstelle ermöglicht es Angreifern, die Authentifizierung zu umgehen und privilegierte Sitzungen zu übernehmen, indem sie sich in den Kommunikationsfluss des Remote Desktop Protocols (RDP) einschleichen. Die Schwachstelle tritt auf, wenn unter bestimmten Konfigurationen sensible Informationen unverschlüsselt zwischen dem Client und der SPS-Appliance übertragen werden, was einen Man-in-the-Middle (MitM)-Angriff ermöglicht.
Während eines internen Audits wurde entdeckt, dass in einigen Konfigurationen während des Verbindungsaufbaus von RDP eine sicherheitskritische Information im Klartext übermittelt wird. Diese Information kann von einem Angreifer abgefangen und genutzt werden, um sich Zugang zu überwachten und geschützten Sitzungen zu verschaffen. Der Angreifer kann so auf Ressourcen zugreifen, ohne die üblichen Authentifizierungsprotokolle vollständig durchlaufen zu müssen. Dies stellt eine erhebliche Bedrohung für die Sicherheit der betroffenen Systeme dar, insbesondere wenn SPS dazu verwendet wird, privilegierte Sitzungen zu überwachen und zu schützen.
Von dieser Schwachstelle betroffen sind LTS-Versionen vor 7.0.5.1 sowie Feature-Versionen vor 7.5.1 von One Identity Safeguard für Privileged Sessions. Nutzer dieser Versionen sollten dringend ein Update auf die gepatchten Versionen vornehmen, um die Schwachstelle zu beheben. SPS 7.0.5.1 LTS und SPS 7.5.1 sind bereits als Updates verfügbar.
Die Ausnutzung dieser Schwachstelle erfordert jedoch, dass ein Credential Store in der Verbindungsrichtlinie konfiguriert ist. Ohne diesen zusätzlichen Schritt müsste der Angreifer noch eine zusätzliche Authentifizierung am Zielsystem durchführen. Darüber hinaus kann der Angriff nur einmalig in einem festgelegten Zeitfenster durchgeführt werden, da die übermittelte Information nur einmal genutzt werden kann. Auch ist es dem Angreifer nicht möglich, die Details der erlangten Sitzung zu bestimmen; diese werden ausschließlich durch die Verbindung des Opfers und die SPS-Konfiguration festgelegt. Wichtig ist auch, dass die Integrität der SPS-Appliance selbst durch diese Schwachstelle nicht beeinträchtigt wird, und andere Protokolle außer RDP sind nicht betroffen.
Ähnliche Beiträge:
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: