Veiligheidsrisico sluimert in netwerkprotocol LDAP 

Microsoft maakte vorig jaar zomer bekend dat in de standaard configuratie van LDAP voor de Active Directory een kwetsbaarheid bestaat. In deze instelling wordt bepaalde communicatie tussen AD-diensten en cliënt-computer onversleuteld verstuurd, wat kwaadwillenden met voldoende kennis uit kunnen lezen. Een zogenaamde ‘man-in-the–middle’ aanvaller kan de communicatie onderscheppen en misbruiken om LDAP volledig naar zijn hand te zetten. Hiervoor is een patch in de maak die de communicatie versleutelt, maar deze is al verschillende keren uitgesteld.  

Addertje onder het gras 

Om de problemen op korte termijn hoofd te bieden, adviseert Microsoft beheerders om handmatig via het Windows-register LDAP-instellingen aan te passen die versleuteling forceren. Toch kleeft hier een flinke ‘maar’ aan. Dat er niet direct een patch voorhanden is, komt mede zodat beheerders de tijd krijgen hun omgeving klaar te maken voor een veiliger versie van LDAP. Veel applicaties en randapparatuur van printers kunnen niet zomaar overweg met een geüpdatet, versleutelde LDAP-versie. Zou de patch in het hypothetische geval morgen uitgerold worden, kan het dus zomaar zijn dat je operatie wordt verstoord. 

Exite adviseert na te gaan in het netwerk waar sprake is van onversleutelde LDAP-communicatie en op endpoints te controleren in hoeverre deze compatibel zijn met versleuteld LDAP-verkeer. Voor hulp bij deze controle en het omgaan met compatibiliteitsissues staan onze security specialisten voor jou klaar!