17/9/2020

Sicherheitslücke: Microsoft Windows Server "Zerologon" (CVE-2020-1472)

"Zerologon" ermöglicht es Angreifern, den im Netlogon-Authentifizierungsprozess verwendeten kryptografischen Algorithmus auszunutzen.
Von
Michael Döhmen
IT-Security Enthusiast
und

Was bedeutet diese Sicherheitslücke?

Am 11. September 2020 wurden detaillierte technische Informationen über eine kritische Sicherheitslücke in Microsoft Windows (CVSS 10) veröffentlicht, die in Microsofts Update-Satz für August 2020 enthalten war und offenbar alle derzeit unterstützten Windows Server (2008 R2 und höher) betrifft.

Bei der ursprünglichen Bekanntgabe im August erhielt die Schwachstelle die offizielle Bezeichnung CVE-2020-1472, aber es wurden nicht viele Details über die Schwachstelle selbst veröffentlicht.    

Es ist bekannt, dass diese Sicherheitslücke, die jetzt als "Zerologon" bezeichnet wird, es einem Angreifer ermöglichen kann, den im Netlogon-Authentifizierungsprozess verwendeten kryptografischen Algorithmus auszunutzen und sich als die Identität eines beliebigen Computers auszugeben, wenn er versucht, sich gegenüber dem Domänencontroller zu authentifizieren.  Von dort aus sind eine Vielzahl anderer Angriffe möglich, einschließlich, aber nicht beschränkt auf die Deaktivierung von Sicherheitsfunktionen, die Änderung von Passwörtern und im Wesentlichen die Übernahme der Domäne.  

Der gesamte Angriff ist, wie gezeigt, sehr schnell und kann in etwa 3 Sekunden ausgeführt werden, so dass er sehr gefährlich sein kann.  

Was sind kurzfristige Schutz-Maßnahmen? 

Was können Sie tun, um sich kurzfristig zu schützen - wir haben die wichtigsten Punkte recherchiert: 

  1. Alle betroffenen Systeme sollten umgehend mit dem neuesten Sicherheitsupdate von Microsoft gepatcht werden.
  2. Der Netzzugang (sowohl physisch als auch aus der Ferne) sollte sorgfältig bewacht werden. Die Sicherheitslücke kann ausschließlich aus der Ferne ausgenutzt werden, sodass sich der Angreifer zunächst auf anderem Wege Zugang verschaffen muss.
  3. Sollte Deep Security oder TippingPoint im Einsatz sein nutzen Sie, die von Trend Micro bereitgestellten IPS-Regel / Filter: 
  • Rule 1010519 - Microsoft Windows Netlogon Elevation of Privilege Vulnerability (CVE-2020-1472)
  • Filter 38166:  MS-NRPC: Microsoft Windows Netlogon Zerologon Authentication Bypass Attempt


Bei Rückfragen melden Sie sich gerne bei uns.

Quelle: Trend Micro, Microsoft

SCHON GEPATCHT?

Dann sollten Sie nicht mehr lange warten.
Jetzt Kontakt aufnehmen!