15/10/2020

Zerologon

Der Aufruhr um die Sicherheitslücke CVE-2020-1472 nimmt nicht ab.
Von
Ellen Leipelt
Marketing Specialist
und
Koray Yildizel
Manager Security Operations

Zerologon immer noch gefährlich

Der Aufruhr um die Sicherheitsschwachstelle CVE-2020-1472, bekannt unter dem Namen „Zerologon“, nimmt nicht ab, sondern noch mehr Fahrt auf. Microsoft entdeckte, dass die Lücke – nach dem CVSS Score mit Schweregrad 10 von 10 eingestuft - mittlerweile von professionellen Cybercrime-Gruppen aktiv ausgenutzt wird. Sie ermöglicht Angreifern die Übernahme von Domänencontrollern.

Was ist Zerologon überhaupt?

Bei dem Begriff Zerologon handelt es sich um den Namen, den man einer äußerst kritischen Schwachstelle in CVE-2020-1472 gegeben hat. Den Namen Zerologon bekam die Sicherheitslücke aufgrund des Fehlers im Anmeldeprozess, bei dem der Initialisierungsvektor stetig auf Nullen gesetzt wird, wobei ein solcher Vektor immer aus Zufallszahlen bestehen sollte. Die Sicherheitslücke befindet sich in der Microsoft Windows Netlogon Protocol (MS-NRPC) Implementierung des Windows Servers. Spezifisch handelt es sich hierbei um eine Lücke in der Kryptographie des Microsoft Netlogon-Prozesses, welche einen Angriff auf die Microsoft Directory Domain Controller (DC) ermöglicht. Bedeutet: Für Hacker ist es möglich, sich als ein beliebiger Computer, einschließlich des Root-DCs, auszugeben.

Initialisierungsvektor wird auf Nullen gesetzt

Seit wann ist die Schwachstelle bekannt?

Seit August 2020 ist die Sicherheitsschwachstelle CVE-2020-1472 bekannt und am 11. September 2020 wurden detaillierte technische Informationen über die kritische Sicherheitslücke veröffentlicht. Wir berichteten kurz darauf über die Sicherheitslücke mit wertvollen Tipps zu den bisherigen Schutzmaßnahmen. Im August 2020 veröffentliche Microsoft einen Patch für Zerologon. Der herausgegebene Patch stellt noch nicht die universelle Lösung für das Problem dar. Daher plant Microsoft Anfang Februar 2021 eine zweite Phase des Patches zu veröffentlichen, in welchen auch das Signieren und Versiegeln vorgeschrieben wird.

Wie funktioniert der Zerologon-Angriff?

Hackern ist es möglich die Kontrolle über einen Domain Controller, einschließlich des Root-DCs, zu übernehmen, indem sie das Passwort eines service accounts auf dem Controller ändern oder entfernen – dieses Vorgehen wird als Spoofing einer Identität bezeichnet. Dadurch kann dann ein Denial-of-Service Angriff verursacht oder sogar das gesamte Netzwerk übernommen werden.

Damit diese Schwachstelle ausgenutzt werden kann, muss es Angreifern möglich sein, eine TCP-Sitzung mit einem DC einzurichten. Dabei ist es unerheblich, ob sich die Angreifer physisch innerhalb des Netzwerkes – genannt Insider Angriff – oder außerhalb befinden, solange sie in der Lage sind, eine solche Sitzung zum Controller aufzubauen. Der Hacker muss zunächst den Berechtigungsnachweis oder das Passwort des Clients im Netzwerk fälschen. Aufgrund der mangelhaften Implementierung des Initialisierungsvektors innerhalb des MS-NRPC benötigt man dafür nur etwa 256 Versuche. Nach drei Fehlversuchen wird das Konto gesperrt? Diese Regel gilt nicht für Computer- oder Maschinenkonten, da es für Computeranmeldungen kein Limit für falsche Passwortversuche gibt. Hacker müssen also nur einen Schlüssel finden, der einen Chiffriertext von null ergibt.

Das fatale daran: Der Angriff kann in wenigen Sekunden durchgeführt werden.

Danach erfolgt aufseiten der Angreifer das Deaktivieren des RPC-Signierungs- und -Versieglungsmechanismus. Dieser Mechanismus wird für die Transportverschlüsselung innerhalb des MS-NRPC verwendet. Wurde das Signieren und Versiegeln erst abgeschaltet, werden die Nachrichten im Klartext gesendet und Angreifer erhalten die Möglichkeit, beliebige Maßnahmen zu ergreifen.

Um die Identität eines Geräts- für Hacker vorzugsweise der AD-Server oder Root-AD-Server – zu fälschen, muss das Passwort geändert werden. Hierfür verwenden sie die Nachricht NetServerPasswordSet2 in MS-NRPC. Ist das Passwort geändert, entfernt oder auf einen leeren Wert gesetzt, kann sich der Hacker über den normalen Prozess einloggen.

Welche Schutzmaßnahmen sind zu treffen?

  • Anwendern wird dringend dazu geraten, die von Microsoft bereitgestellten Sicherheitsupdates auf allen als Domaincontroller eingesetzten Windows Servern zu installieren.  
  • In diesem Microsoft-Support-Beitrag stehen weitere Tipps zur Absicherung zur Verfügung.
  • Trend Micro hat zusätzliche Schutzebenen in Form von IPS-Regeln und TippingPoint-Filtern zur Verfügung gestellt.

Kennen Sie Ihre Schwachstellen?

Unser Vulnerability Management deckt auf!
Jetzt Angebot anfragen.