[English]Kurze Erinnerung für Administratoren von Windows Server-Systemen, die als Domain Controller laufen. Ab dem 9. Februar 2021 wird der sogenannte Enforcement Mode zum Schließen der Netlogon-Schwachstelle verpflichtend – Microsoft rollt dann das betreffende Update aus. Ergänzung: Es gibt einen zweiten Termin für den Enforcement Mode mit dem 9. März 2021 – Text wurde erweitert.
Anzeige
Die Netlogon-Schwachstelle CVE-2020-147
Im Windows Netlogon-Protokoll gibt es eine kritische Schwachstelle CVE-2020-1472, über die ich mehrfach im Blog berichtet hatte (siehe Links am Artikelende). Bei der Zerologon-Sicherheitslücke (CVE-2020-1472) handelt es sich um eine Privilege Escalation-Schwachstelle aufgrund der unsicheren Verwendung der AES-CFB8-Verschlüsselung für Netlogon-Sitzungen. Die Schwachstelle ermöglicht die Übernahme von Active Directory Domain Controllern (DC) – auch Remote, falls der Domain-Controller per Netzwerk/Internet erreichbar ist – durch nicht autorisierte Angreifer.
Microsoft verfolgt einen zweistufigen Ansatz, um die Schwachstelle zu schließen (siehe auch den Supportbeitrag KB4557222 sowie den Beitrag Verwalten der Änderungen in den sicheren Netlogon Kanalverbindungen, die CVE-2020-1472 zugeordnet sind). Mit dem Sicherheits-Updates vom 11. August 2020 (siehe Linkliste am Artikelende) wurde die erste Stufe der Absicherung eingeleitet. Im Februar 2021 wird die zweite Stufe zum Schließen der Schwachstelle bereitgestellt. Diese Stufe macht dann den sogenannten Enforcement Mode verpflichtend.
Microsoft hatte bereits am 14. Januar 2021 den Blog-Beitrag Netlogon Domain Controller Enforcement Mode is enabled by default beginning with the February 9, 2021 Security Update, related to CVE-2020-1472 dazu veröffentlicht. Ich hole den Vorgang nochmals hervor, falls das an DC-Admins vorbei gegangen sein sollte. Nicht das nächsten Dienstag, nach dem Einspielen der Februar 2021-Patches das große Erwachen kommt, weil Maschinen nicht mehr mit dem Domain Controller Kontakt aufnehmen können.
Ergänzung: Wie Blog-Leser daooze in nachfolgendem Kommentar schreibt, gibt Microsoft im Beitrag Managing deployment of RBCD/Protected User changes for CVE-2020-16996 an, dass sich der Termin für den erzwungenen Enforcement Modus für DCs auf den 9. März 2021 (Patchday) verschoben habe. Problem: In obigem Artikel Netlogon Domain Controller Enforcement Mode is enabled by default beginning with the February 9, 2021 Security Update, related to CVE-2020-1472 wird eine andere Schwachstelle genannt, als diese CVE-2020-16996 (danke an Stefan für den Hinweis). Wir haben also im Februar und im März beim Patchday die Situation, dass der Enforcement Mode für die Schwachstellen erzwungen wird.
Anzeige
Ähnliche Artikel:
Windows Server: Zerologon-Sicherheitslücke (CVE-2020-1472) erlaubt Domain Übernahme
CISA-Warnung: Patcht eure Windows Server gegen CVE-2020-1472 (Zerologon)
0patch fixt Zerologon (CVE-2020-1472) in Windows Server 2008 R2
Achtung: Windows Domain Controller erzeugen plötzlich EventID 5829-Warnungen (11.8.2020)
Windows 10 V1607: Update KB4571694 erzeugt ID 5827-Events und brickt MMC
Microsoft Security Update Summary (11. August 2020)
Patchday: Windows 10-Updates (11. August 2020)
Patchday: Windows 8.1/Server 2012-Updates (11. August 2020)
Patchday: Updates für Windows 7/Server 2008 R2 (11.8.2020)
Zerologon Exploits werden ausgenutzt, patchen (Windows Server, Samba) ist angesagt
Microsoft präzisiert das Patchen der Netlogon-Schwachstelle (CVE-2020-1472)
Anzeige
M$ schreibt dazu unter https://support.microsoft.com/en-us/topic/managing-deployment-of-rbcd-protected-user-changes-for-cve-2020-16996-9a59a49f-20b9-a292-f205-da9da0ff24d3, dass der Termin zur Aktivierung des Enforcement Mode auf den 9. März 2021 verschoben wurde.
"IMPORTANT The date for Enforcement mode as previously noted in this article has changed to March 9, 2021."
Danke, kannte ich noch nicht, ist in obigem Text mit den zusätzlichen Anmerkungen von Stefan berücksichtigt.
So wie sich die MS-Artikel lesen, bezieht sich die Aussage auf zwei unterschiedliche Sicherheitslücken! Der Begriff "Enforcement" wird leider doppelt verwendet.
CVE-2020-1472 (wie im Artikel) beschreibt eine Anfälligkeit des sicheren Kanals über RPC, die mit dem Registrykey "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\FullSecureChannelProtection", die weiterhin ab 02/2021 aktiviert werden.
CVE-2020-16996 betrifft die Kerberos-Delegation und den Ablauf des Dienstticktes, und wird mit dem Reg-Key "HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc\NonForwardableDelegation" gesteuert. Dies erfolgt nun ab März 2021.
Das sind zwei unterschiedliche Baustellen, somit sollte man die CVE-2020-1472 weiterhin im Blick behalten und event-IDs 5827 und 5828 auf den Domänencontrollern überprüfen. (In der Regel wird dort aber nicht nichts zu finden sein, falls doch gibt es eine Ausnahme, die man per GPO einstellen kann.)
Wurde wirklich auf den 9. März verschoben? Bei MS liest sich das ja so. Aber z.B. Bleeping und Redmonmag schreiben, die Umschaltung wird mit dem aktuellen Update durchgeführt. Sind diese beiden Portale nicht auf dem aktuellen Stand und haben die Verschiebung nicht mit bekommen, oder bezieht sich die Verschiebung doch auf was anderes? Die Frage dahinter ist, soll ich die DCs jetzt vor dem Wochenende noch updaten, oder erst Montag…?
Ist im Text erwähnt und Stefan hat es ja herausgearbeitet – es sind zwei Baustellen, die den Enforcement Mode aktivieren. Eine im Februar, eine im März. Zur Frage des Updates sollte sich jemand äußern, der das Zeugs betreibt und ggf. gepatcht hat.
Hi,
verstehe aber nicht, wie ich Fremdsyteme (die die AD zur Authentifizierung von Usern nutzen bspwl. FW) die aber nicht Member der Domäne sind, in die Policy eintragen kann, da es gar kein Computerkonto für diese gibt.
Lt. der Erklärung der GPO "DC: allow vulnerable Netlogon secure channel connections" , wenn das Feld Security descriptor leer bleibt, dann wird die Policy nicht umgesetzt.
Diese Fremdsysteme haben in diesem Fall aber wirklich ein AD Computer Konto. (Es geht hier nicht um eine einfache ldap Abfrage oder ähnliches.)
Nein, dieses Fremdsystem, eine Checkpoint FW bzw. ein Proxy , hat kein AD Konto.
Diese Systeme führen eine Ldap-Abfrage an den DC durch, aber dieses MS-Patch dreht doch das Ganze auch auf LdapS , oder nicht ?