Derzeit gibt es eine kritische Sicherheitslücke von per IIS (Internet Information Service) gehosteten Webseiten, welche eine NTLM Relay Attacke ermöglicht.

Welche Systeme sind betroffen?

Webseiten/virtuelle Verzeichnisse, auf die alle folgenden Punkte zutreffen:

• wird über IIS von Microsoft gehostet
• eine Anmeldung an dieser Seite ist über „Windows Authentication“ aktiv
• die „IIS Extended Protection“ ist nicht aktiviert (das ist die default-Einstellung)

Was ist zu tun?

Die „IIS Extended Protection“ muss aktiviert und auf „required“ gesetzt werden.

Eine Anleitung dafür finden Sie unter:
https://learn.microsoft.com/de-de/iis/configuration/system.webserver/security/authentication/windowsauthentication/extendedprotection/

Weitere Informationen finden Sie unter:
https://www.msxfaq.de/windows/iis/iis_extended_protection.htm