[English]Sicherheitsforscher haben eine Schwachstelle in allen Windows Server-Versionen aufgedeckt, die eine Domain-Übernahme mit einem einfachen Ansatz ermöglicht. Diese Zerologon genannte Sicherheitslücke (CVE-2020-1472) wurde mit den Sicherheitsupdates von August 2020 geschlossen. Wer diesen Patch noch nicht installiert hat, sollte schnellstmöglich reagieren.
Anzeige
Ich hatte es bereits gestern auf Twitter vernommen und dieser Kommentar hier im Blog weist auf das Thema hin, welches bei Golem behandelt wurde. Es geht um die sogenannte Zerologon-Sicherheitslücke (CVE-2020-1472), die eine eine Domain-Übernahme ermöglicht. Tenable hat es hier zusammen getragen.
Zerologon-Sicherheitslücke (CVE-2020-1472)
Am 11. September veröffentlichten Forscher von Secura einen Blog-Beitrag zu der kritischen Zerologon-Schwachstelle. Der Blog-Beitrag enthält ein Whitepaper, in dem die vollständigen Auswirkungen und die Ausführung der als CVE-2020-1472 identifizierten Schwachstelle erläutert werden. Sie Schwachstelle hat die CVSSv3-Bewertung von 10,0 (Höchstpunktzahl) erhalten.
CVE-2020-1472 ist eine Privilege Escalation-Schwachstelle, die aufgrund der unsicheren Verwendung der AES-CFB8-Verschlüsselung für Netlogon-Sitzungen ermöglicht wird. Der AES-CFB8-Standard schreibt vor, dass jedes Byte Klartext, wie z.B. ein Passwort, einen randomisierten Initialisierungsvektor (IV) haben muss, damit Passwörter nicht erraten werden können. Die ComputeNetlogonCredential-Funktion in Netlogon setzt den IV auf feste 16 Bit, was bedeutet, dass ein Angreifer den entzifferten Text kontrollieren könnte.
Ein Angreifer kann diese Schwachstelle ausnutzen, um die Identität einer beliebigen Maschine in einem Netzwerk vorzutäuschen, wenn er versucht, sich gegenüber dem Domain Controller (DC) zu authentifizieren. Weitere Angriffe sind dann möglich, einschließlich der vollständigen Übernahme einer Windows-Domäne. Im Securas Whitepaper wird auch darauf hingewiesen, dass ein Angreifer in der Lage wäre, einfach das Impacket "secretsdump"-Skript auszuführen, um eine Liste von Benutzer-Hashes von einem Ziel-DC zu erhalten.
Anzeige
Auf GitHub hat jemand jetzt ein Proof of Concept (PoC) veröffentlicht. heise widmet sich hier diesem Thema und Bleeping Computer hat diesen Beitrag dazu verfasst.
Patch von August 2020 gegen CVE-2020-1472
Die Zerologon-Schwachstelle wurde von Microsoft mit den Sicherheitsupdates von August 2020 gepatcht (siehe auch Linkliste am Artikelende). Einen Hinweise von Tenable auf diesen Patch findet sich in diesem Tenable-Beitrag. Administratoren sollten das betreffende Update zügig installieren. Hier im Blog hatte ich in den beiden folgenden Blog-Beiträgen auf die Implikationen im Zusammenhang mit diesem Update hingewiesen:
Achtung: Windows Domain Controller erzeugen plötzlich EventID 5829-Warnungen (11.8.2020)
Windows 10 V1607: Update KB4571694 erzeugt ID 5827-Events und brickt MMC
Ähnliche Artikel:
Microsoft Office Patchday (4. August 2020)
Microsoft Security Update Summary (11. August 2020)
Patchday: Windows 10-Updates (11. August 2020)
Patchday: Windows 8.1/Server 2012-Updates (11. August 2020)
Patchday: Updates für Windows 7/Server 2008 R2 (11.8.2020)
Patchday Microsoft Office Updates (11. August 2020)
Anzeige
Hier
https://winfuture.de/news,118285.html
steht, schwierig mit dem patchen, daher zweistufig:
A, Aug 2020 provisorisch, B, Feb. 2021 "tiefergehende Lösungen".
Details finden sich im Microsoft-Beitrag Verwalten der Änderungen in den sicheren Netlogon Kanalverbindungen, die CVE-2020-1472 zugeordnet sind. Der Support-Beitrag ist in beiden Artikeln, die am Ende des obigen Blog-Beitrags verlinkt sind, aufgeführt.
Ich habe noch eine Zusammenstellung gefunden.
vllt. kann es der ein oder andere benötigen….
mittels eines python scripts können die systeme auf ihre verwundbarkeit getestet werden
https://github.com/SecuraBV/CVE-2020-1472/
mit der Buildversion 14393.3866 – Update vom 11.08.2020 – KB4571694 – sind die Systeme laut dem Script dann "safe"
https://support.microsoft.com/de-de/help/4571694
heißt das, der Reg-Wert für die Erzwingung ist nicht nötig?
Hier finde ich wiedersprüchliches im netz
@Günter Born: Können wir das im Blog vielleicht nochmal prominent zum Thema machen, ob die Registry Änderung nötig ist um die Umgebung schon vor dem Febr. '21 safe zu kriegen?
habe das selbst auf unseren beiden DC´s so durchgeführt – und auch zuvor das script auf dem DC mit der Buildversion
14. Juli 2020 – KB4565511 (BS-Build 14393.3808) laufen lassen.
Bei dem Juli Update waren die Systeme laut script noch verwundbar, nachdem KB4571694 installiert war, war die Scriptausgabe, dass die Systeme erfolgreich kompromittiert wurden.
EDIT mein vorheriger Eintrag:
Bei dem Juli Update waren die Systeme laut script noch verwundbar, nachdem KB4571694 installiert war, war die Scriptausgabe, dass die Systeme gegen den Angriff gepatcht sind
Ich denke gepatcht ist man erst nach dem Reg Eintrag zusätzlich. Ansonsten erst ab Februar. Sollte man nicht abwarten ;-)
Hallo zusammen,
mein WSUS Server hat das Update KB4571703 angezeigt zum installieren, allerdings wurde es vom Server nicht installiert mit den anderen Updates zusammen. Jetzt zeigt mir mein WSUS das Update nicht als "Needed" an.
Könnt ihr mir helfen?
https://docs.microsoft.com/en-us/answers/questions/106587/kb4571723-superceeded-by-kb4578013-and-not-require.html