[English]Mit den Dezember 2020-Updates unternimmt Microsoft einen weiteren Versuch, die neue Kerberos-Schwachstelle CVE-2020-16996 in Active Directory Domain Controllern (DCs) mit einer gestuften Vorgehensweise zu schließen. Das geht aus einem am 8. Dezember 2020 veröffentlichten Support-Beitrag hervor.
Anzeige
Die Schwachstelle CVE-2020-16996
Die (neu entdeckte) Schwachstelle CVE-2020-16996 wirkt sich quasi auf Active Directory-Domänencontrollern (AD DC) aus, wenn geschützte Benutzer und ressourcenbasierte Delegierung (RBCD) verwendet werden. Informationen zur Schwachstelle CVE-2020-16996 sind spärlich. Die Schwachstelle im Kerberos-Authentifizierungsprozess ermöglicht Angreifern mit niedrigen Rechten einen Remote Code-Angriff auf die Netzwerkinfrastruktur der genannten Umgebungen auszuführen. Microsoft hat zwar noch keine Angriffe beobachtet, gibt die Komplexität zur Ausnutzung aber als niedrig an.
Support-Beitrag skizziert Vorgehensweise
Microsoft hat zum Patchday, 8. Dezember 2020, einen Fix für diese Schwachstelle in den Sicherheitsupdates für die diversen Windows-Versionen mit ausgerollt, ohne dies explizit anzugeben (siehe nachfolgende Links zum Patchday). Aber ein, am 8. Dezember 2020 veröffentlichter Support-Beitrag KB4577252 (Verwalten der Bereitstellung von RBCD/geschützten Benutzer Änderungen für CVE-2020-16996) geht auf das Thema ein. Dort gibt Microsoft konkret folgende Anweisungen, um die Schwachstelle zu schließen und die Active Directory DC-Umgebung abzusichern:
- Aktualisieren Sie alle Geräte, die die Active Directory-Domänencontrollerrolle hosten, indem Sie das Windows-Update vom 8. Dezember, 2020 oder ein höheres Windows-Update installieren. Beachten Sie, dass die Sicherheitsanfälligkeit durch die Installation von Windows Update nicht vollständig verringert wird. Sie müssen Schritt 2 ausführen.
- Aktivieren Sie den Erzwingungs-Modus auf allen Active Directory-Domänencontrollern. Ab dem Update vom 9. Februar 2021 kann der Erzwingungs-Modus auf allen Windows-Domänencontrollern aktiviert werden.
Die anfängliche Bereitstellungsphase des Patches zum Schließen der Schwachstelle CVE-2020-16996 beginnt also mit dem am 8. Dezember 2020 veröffentlichten Windows-Updates. Ab dem 9. Februar 2021 wird die sogenannte Erzwingungs-Phase durch ein weiteres Windows-Update ausgerollt. Diese und spätere Windows-Updates nehmen Änderungen an Kerberos vor.
Microsoft gibt im Support-Beitrag KB4577252 eine detaillierte Anleitung, wie Administratoren betroffener Systeme vorzugehen haben und was alles zu beachten ist. Beachtet vor allem die Hinweise auf möglicherweise auftretende Authentifizierungsprobleme, wenn Updates und Anpassungen an der Registrierung inkonsistent erfolgen. Diesen Fall hatten wir ja bereits mit den November 2020-Updates (siehe Link-Liste, z.B. Weitere Windows-Updates mit Fix für Kerberos-Authentication-Problem (19.11.2020)). (via)
Anzeige
Ähnliche Artikel:
Patchday: Windows 10-Updates (8. Dezember 2020)
Patchday: Updates für Windows 7/Server 2008 R2 (8.12.2020)
Patchday: Windows 8.1/Server 2012-Updates (8.12.2020)
Windows-Sonderupdates: Fix für Kerberos-Authentication-Problem
Windows Server 2012/R2: Sonderpatch für Kerberos-Authentication-Problem
Weitere Windows-Updates mit Fix für Kerberos-Authentication-Problem (19.11.2020)
Anzeige