One-Identity: Man-in-the-Middle Angriffe über RDP Protokoll möglich

Im Oktober 2024 wurde eine kritische Sicherheitslücke in One Identity Safeguard für Privileged Sessions (SPS) veröffentlicht, die unter der CVE-2024-40595 registriert ist. Diese Schwachstelle ermöglicht es Angreifern, die Authentifizierung zu umgehen und privilegierte Sitzungen zu übernehmen, indem sie sich in den Kommunikationsfluss des Remote Desktop Protocols (RDP) einschleichen. Die Schwachstelle tritt auf, wenn unter bestimmten Konfigurationen sensible Informationen unverschlüsselt zwischen dem Client und der SPS-Appliance übertragen werden, was einen Man-in-the-Middle (MitM)-Angriff ermöglicht.

Während eines internen Audits wurde entdeckt, dass in einigen Konfigurationen während des Verbindungsaufbaus von RDP eine sicherheitskritische Information im Klartext übermittelt wird. Diese Information kann von einem Angreifer abgefangen und genutzt werden, um sich Zugang zu überwachten und geschützten Sitzungen zu verschaffen. Der Angreifer kann so auf Ressourcen zugreifen, ohne die üblichen Authentifizierungsprotokolle vollständig durchlaufen zu müssen. Dies stellt eine erhebliche Bedrohung für die Sicherheit der betroffenen Systeme dar, insbesondere wenn SPS dazu verwendet wird, privilegierte Sitzungen zu überwachen und zu schützen.

Von dieser Schwachstelle betroffen sind LTS-Versionen vor 7.0.5.1 sowie Feature-Versionen vor 7.5.1 von One Identity Safeguard für Privileged Sessions. Nutzer dieser Versionen sollten dringend ein Update auf die gepatchten Versionen vornehmen, um die Schwachstelle zu beheben. SPS 7.0.5.1 LTS und SPS 7.5.1 sind bereits als Updates verfügbar.

Die Ausnutzung dieser Schwachstelle erfordert jedoch, dass ein Credential Store in der Verbindungsrichtlinie konfiguriert ist. Ohne diesen zusätzlichen Schritt müsste der Angreifer noch eine zusätzliche Authentifizierung am Zielsystem durchführen. Darüber hinaus kann der Angriff nur einmalig in einem festgelegten Zeitfenster durchgeführt werden, da die übermittelte Information nur einmal genutzt werden kann. Auch ist es dem Angreifer nicht möglich, die Details der erlangten Sitzung zu bestimmen; diese werden ausschließlich durch die Verbindung des Opfers und die SPS-Konfiguration festgelegt. Wichtig ist auch, dass die Integrität der SPS-Appliance selbst durch diese Schwachstelle nicht beeinträchtigt wird, und andere Protokolle außer RDP sind nicht betroffen.

Related Posts

Sicherheitsrisiko in AWS CDK ermöglicht Kontoübernahme durch fehlerhaft gelöschte S3-Buckets

Am 24. Oktober 2024 veröffentlichte Ofek Itach und Yakir Kadkoda einen umfassenden Bericht, in dem eine neu entdeckte Schwachstelle im AWS Cloud Development Kit (CDK) beschrieben wird. Diese Sicherheitslücke betrifft die Art und Weise, wie das CDK während des sogenannten Bootstrapping-Prozesses S3-Buckets zur Speicherung von Deployment-Assets erstellt. Insbesondere wurde festgestellt, dass das manuelle Löschen dieser Buckets durch Benutzer ein Einfallstor für Angreifer darstellen kann.

Read More

Statische Anmeldeinformationen in Cisco Firepower Threat Defense Software entdeckt (CVE-2024-20412)

Cisco hat am 23. Oktober 2024 eine schwerwiegende Sicherheitslücke in der Cisco Firepower Threat Defense (FTD) Software für die Serien Firepower 1000, 2100, 3100 und 4200 veröffentlicht. Diese Schwachstelle, die mit CVE-2024-20412 bezeichnet wird, könnte einem nicht authentifizierten, lokalen Angreifer den Zugriff auf ein betroffenes System mithilfe statischer Anmeldeinformationen ermöglichen. Der Schweregrad dieser Schwachstelle wird mit einem CVSS-Score von 9.3 als kritisch eingestuft.

Read More

Schwachstelle in OpenSSL: Out-of-Bounds-Speicherzugriffe durch ungültige GF(2^m)-Parameter (CVE-2024-9143)

Die kürzlich entdeckte Schwachstelle CVE-2024-9143 betrifft die Verwendung von low-level GF(2^m) elliptischen Kurven in OpenSSL, die zu Out-of-Bounds-Speicherzugriffen führen können. Obwohl diese Lücke potenziell für das Ausführen von Remote-Code genutzt werden könnte, ist die Wahrscheinlichkeit eines realen Angriffs gering, da die meisten Implementierungen nur “benannte Kurven” unterstützen. Betroffen sind verschiedene Versionen von OpenSSL (3.3, 3.2, 3.1, 3.0, 1.1.1, 1.0.2). Updates werden in den nächsten Versionen veröffentlicht.

Read More