Netz-Weise

PKI zähmen mit dem Powershel-Module Tame my Certs

PKI zähmen mit dem Powershel-Module Tame my Certs

𝗘𝗶𝗻 𝟮𝟱 𝗝𝗮𝗵𝗿𝗲 𝗮𝗹𝘁𝗲𝗿 𝗕𝘂𝗴 𝗲𝗿𝗹𝗮𝘂𝗯𝘁 𝗲𝘀, 𝗕𝗲𝗻𝘂𝘁𝘇𝗲𝗿-𝗚𝗿𝘂𝗽𝗽𝗲𝗻𝗿𝗶𝗰𝗵𝘁𝗹𝗶𝗻𝗶𝗲𝗻 𝘇𝘂 𝘂𝗺𝗴𝗲𝗵𝗲𝗻.
Wie bei Günther Born unter https://www.borncity.com/blog/2025/06/02/windows-schwachstelle-ermoeglicht-user-group-policies-auszuhebeln/ ausführlich diskutiert, muss der Benutzer aka Angreifer dafür ein verbindliches Benutzer-Profil anlegen und mit der Office Registry Library, die Bestandteil von Windows ist, die Einstellungen aus der Datei ntuser.dat in die neue Profil-Datei kopieren. Da das verbindliche Profil, dass in er Datei ntuser.man gespeichert wird, Vorrang hat, werden die Gruppenrichtlinien der Domäne nicht mehr geladen. Microsoft sieht darin kein Problem - nicht zum ersten Mal bei einer schweren Sicherheitslücke. Wir erinnern uns zum Beispiel an Mimikatz, das eine Spur der Verwüstung nach sich zog und dazu führte, dass Firmen riesige Anstrengungen unternommen haben, um das Tiering-Modell und Red Forests einzurichten. Daher gibt es aktuell keine Lösung und es wird vermutlich auch keine geben. Ein Lösungsansatz besteht im Einsatz von Applocker, um die Verwendung der Office Registry Library zu verhindern. Für mehr Details und Lösungsansätze empfehle ich die Diskussion zum Artikel, speziell die Beiträge von Mark Heitbrink.

Powershell Usergroup Hannover (Heute)

Windows Updates und Grillen bei der PSUGH

Powershell Usergroup Hannover (Heute)

Powershell Usergroup Hannover (Heute)