[English]Ich hole das Thema Zerologon-Schwachstelle nochmals hoch. Microsoft warnt, dass Angreifer die Windows Server Zerologon-Exploits aktiv für Angriffe nutzen. Windows Server-Administratoren sollten dringend die notwendigen Sicherheitsupdates installieren. Aber auch Samba-Server sind anfällig. Hier nochmals einige Informationen zum Thema.
Anzeige
Die Zerologon-Sicherheitslücke (CVE-2020-1472)
Ich hatte das Thema ja mehrfach im Blog (siehe Links am Artikelende). Die Zerologon-Sicherheitslücke (CVE-2020-1472) ist eine Privilege Escalation-Schwachstelle aufgrund der unsicheren Verwendung der AES-CFB8-Verschlüsselung für Netlogon-Sitzungen. Die Schwachstelle ermöglicht die Übernahme von Active Directory Domain Controllern (DC) – auch Remote, falls der Domain-Controller per Netzwerk/Internet erreichbar ist – durch nicht authorisierte Angreifer.
Ich hatte im Blog-Beitrag Windows Server: Zerologon-Sicherheitslücke (CVE-2020-1472) erlaubt Domain Übernahme über dieses Risiko berichtet. Zum letzten Wochenende warnte die US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) und hat eine Dringlichkeitsanweisung erlassen, die den US-Regierungsbehörden eine Frist von vier Tagen für die Implementierung eines Windows Server-Patches gegen die Zerologon-Schwachstelle (CVE-2020-1472) einräumt (siehe CISA-Warnung: Patcht eure Windows Server gegen CVE-2020-1472 (Zerologon)).
Jetzt lese ich bei Bleeping Computer, dass auch Microsoft inzwischen eine Serie an Tweets mit einer Warnung herausgegeben habe, weil Angreifer die Windows Server Zerologon-Exploits aktiv für Angriffe nutzen.
Anzeige
Patches für Windows Server und Samba-Server verfügbar
Microsoft schließt die Schwachstelle in zwei Stufen, wie im Supportbeitrag KB4557222 nachzulesen ist. Mit dem Sicherheits-Updates vom 11. August 2020 (siehe Linkliste am Artikelende) wurde die erste Stufe der Absicherung eingeleitet. Für die unterstützten Windows Server-Varianten ist also eine Absicherung möglich.
Für Windows Server 2008 R2 gibt es den Patch aber nur für Kunden, die das Microsoft ESU-Programm kostenpflichtig erworben haben (ist ohne Volumenlizenzvertrag faktisch unmöglich). Wer keinen Patch für Windows Server 2008 R2 bekommen hat, für den verweise ich auf die alternative Lösung von 0patch (siehe 0patch fixt Zerologon (CVE-2020-1472) in Windows Server 2008 R2).
Was ich bis vor wenigen Tagen nicht auf dem Radar hatte: Auch Samba-Server, die unter Linux laufen, sind durch die Zerologon-Schwachstelle betroffen. Das Samba-Team hat ein Sicherheitsupdate veröffentlicht, um die kritische Schwachstelle CVE-2020-1472 ab Samba 4.0 und höher zu schließen. Diese Schwachstelle könnte es einem Remote Angreifer ermöglichen, die Kontrolle über ein betroffenes System zu übernehmen. Samba 8.0 und höher besitzt diese Schwachstelle nicht, sofern die Kofigurationsdatei smb.conf nicht angepasst wurde (siehe Hinweise des Samba-Teams).
Wie eine Infektion erkennen?
Abschließend noch ein kurzer Hinweis für Administratoren, die vor dem Problem stehen, eine Infektion über die Zerologon-Schwachstelle detektieren zu müssen. The Hacker News geben in diesem Artikel eine kleine Hilfestellung. Der Sicherheitsanbieter Cynet erklärte nicht nur die Ursache des Problems, sondern gab auch Einzelheiten zu einigen kritischen Artefakten bekannt. Diese können zur Erkennung einer aktiven Ausnutzung der Schwachstelle verwendet werden.
Dazu gehört ein bestimmtes Speichermuster im Speicher des Prozesses lsass.exe sowie eine anormale Steigerung des Datenverkehrs zwischen lsass.exe und den Systemen des Angreifers. "Das am besten dokumentierte Artefakt ist die Windows-Ereignis-ID 4742 'Ein Computerkonto wurde geändert', oft kombiniert mit der Windows-Ereignis-ID 4672 'Spezielle Berechtigungen für neue Anmeldung'", schreiben die Sicherheitsleute von Cynet.
Damit Windows Server-Administratoren ähnliche Angriffe schnell erkennen können, haben die Sicherheitsexperten von Cynet für ihre eigene Software eine YARA-Regel veröffentlicht. Für die Echtzeitüberwachung haben sie zudem ein einfaches Tool, über die Datei Cynet-Zerologon-Detector.zip, zum Herunterladen zur Verfügung gestellt. Der Cynet Zerologon Detector ist eine ausführbare Anwendung, die sich per Batch-Datei installieren und wieder deinstallieren lässt. Details lassen sich in diesem Cynet-Artikel nachlesen.
Es gibt zudem das Open Source-Paket Zeek zur Erkennung der Angriffe. Inzwischen haben die Anbieter von SIEMS-Lösungen ebenfalls Vorkehrungen zur Erkennung von Zerologon-Angriffen getroffen, wie ich bei einer schnellen Internetsuche gerade feststelle. Vielleicht hilft es weiter.
Ähnliche Artikel:
Windows Server: Zerologon-Sicherheitslücke (CVE-2020-1472) erlaubt Domain Übernahme
CISA-Warnung: Patcht eure Windows Server gegen CVE-2020-1472 (Zerologon)
0patch fixt Zerologon (CVE-2020-1472) in Windows Server 2008 R2
Achtung: Windows Domain Controller erzeugen plötzlich EventID 5829-Warnungen (11.8.2020)
Windows 10 V1607: Update KB4571694 erzeugt ID 5827-Events und brickt MMC
Microsoft Security Update Summary (11. August 2020)
Patchday: Windows 10-Updates (11. August 2020)
Patchday: Windows 8.1/Server 2012-Updates (11. August 2020)
Patchday: Updates für Windows 7/Server 2008 R2 (11.8.2020)
Anzeige
Wer seit dem August Patch keine Probleme gefunden hat und auch das Eventlog keines der aufgelisteten IDs (siehe Microsoft Artikel https://support.microsoft.com/de-de/help/4557222/how-to-manage-the-changes-in-netlogon-secure-channel-connections-assoc#theGroupPolicy) zeigt, kann die Regel auch gleich per Registry erzwingen und nicht noch bis Februar 2021 warten. Wie im o.g. Artikel beschrieben folgenden Schlüssel auf "1" setzen(momentan noch auf "0"):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
FullSecureChannelProtection
Die Option "0" wird ab Februar 2021 anscheinend nicht mehr möglich sein.
Die Änderung muss an jedem DC geschehen.
Gruß
Hi!
Ich muss jetzt doch mal fragen, ich check das irgendwie nicht. Habe ich den entsprechenden Fix installiert, wenn bei meinen Servern das Update KB4571694 (2020-08 CU) eingespielt ist? In den offiziellen Patchnotes steht nichts bezüglich Zerologon oder MS-NRPC und in dem verlinkten Hinweis zum Patch steht auch nichts vom dem CU.
Danke
Steht im Artikel Verwalten der Änderungen in den sicheren Netlogon Kanalverbindungen, die CVE-2020-1472 zugeordnet sind
Betrifft das auch VPN Verbindungen (bei der Authentifizierung), oder ist dies nur innerhalb des Netzes?
Nur Anmeldungen am DC. im Zweifelsfall kommt es auf die VPN-Lösung an, die da verwendet wird…
Dieses Tool von Cyra ist nett gemeint, aber ein fremdes, nicht verifiziertes, nicht im Quellcode einsehbares Tool auf dem DC mit Adminrechten laufen lassen? Ich glaube, es piepst!
Hi 1ST1,
die IT-Sicherheitsfirma Secura hat dazu ein Whitepaper sowie ein Open Source Skript auf Github released.
https://www.secura.com/blog/zero-logon
Wir haben einige Problem mit dem Patch mit speziellen Build-Nr vom Server.
Server 2019 1809 Build 17763.1339 -> Patch KB4565349 kann installiert werden
Server 2019 1809 Build 17763.1457 -> Patch KB4565349 "not applicable for your system"
Muss ich auf dem Build 17763.1457 den Patch KB4570333 einspielen um den ZEROLOGON zu patchen ?
Das gleiche Problem haben wir mit Server 2016 -> 1607 Build 14393.3930 funktioniert auch KB4571694 nicht.
Die Updates sind kumulativ! Ergo beinhaltet das Patch vom 8.9 schon alle älteren Updates das sollte man aber schon wissen wenn man Server patchen darf ;)
2019:
KB4570333 = 17763.1457 vom 8. September (beinhaltet schon KB4565349)
KB4565349 = 17763.1397 vom 11.August
https://support.microsoft.com/de-de/help/4570333
2016:
KB4577015 = 14393.3930 vom 8. September (beinhaltet schon KB4571694)
KB4571694 = 14393.3866 vom 11. August 2020
https://support.microsoft.com/de-de/help/4577015