Derzeit gibt es eine kritische Sicherheitslücke von per IIS (Internet Information Service) gehosteten Webseiten, welche eine NTLM Relay Attacke ermöglicht.
Welche Systeme sind betroffen?
Webseiten/virtuelle Verzeichnisse, auf die alle folgenden Punkte zutreffen:
- wird über IIS von Microsoft gehostet
- eine Anmeldung an dieser Seite ist über „Windows Authentication“ aktiv
- die „IIS Extended Protection“ ist nicht aktiviert (das ist die default-Einstellung)
Was ist zu tun?
Die „IIS Extended Protection“ muss aktiviert und auf „required“ gesetzt werden.
Eine Anleitung dafür finden Sie unter:
https://learn.microsoft.com/de-de/iis/configuration/system.webserver/security/authentication/windowsauthentication/extendedprotection/
Weitere Informationen finden Sie unter:
https://www.msxfaq.de/windows/iis/iis_extended_protection.htm