{"id":235590,"date":"2020-09-16T00:50:39","date_gmt":"2020-09-15T22:50:39","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=235590"},"modified":"2020-09-16T01:09:28","modified_gmt":"2020-09-15T23:09:28","slug":"windows-server-zerologon-sicherheitslcke-cve-2020-1472-erlaubt-domain-bernahme","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/09\/16\/windows-server-zerologon-sicherheitslcke-cve-2020-1472-erlaubt-domain-bernahme\/","title":{"rendered":"Windows Server: Zerologon-Sicherheitslücke (CVE-2020-1472) erlaubt Domain Übernahme"},"content":{"rendered":"

[English<\/a>]Sicherheitsforscher haben eine Schwachstelle in allen Windows Server-Versionen aufgedeckt, die eine Domain-\u00dcbernahme mit einem einfachen Ansatz erm\u00f6glicht. Diese Zerologon genannte Sicherheitsl\u00fccke (CVE-2020-1472) wurde mit den Sicherheitsupdates von August 2020 geschlossen. Wer diesen Patch noch nicht installiert hat, sollte schnellstm\u00f6glich reagieren.<\/p>\n

<\/p>\n

\"\"Ich hatte es bereits gestern auf Twitter vernommen und dieser Kommentar<\/a> hier im Blog weist auf das Thema hin, welches bei Golem<\/a> behandelt wurde.\u00a0 Es geht um die sogenannte Zerologon-Sicherheitsl\u00fccke (CVE-2020-1472), die eine eine Domain-\u00dcbernahme erm\u00f6glicht. Tenable hat es hier<\/a> zusammen getragen.<\/p>\n

Zerologon-Sicherheitsl\u00fccke (CVE-2020-1472)<\/h2>\n

Am 11. September ver\u00f6ffentlichten Forscher von Secura einen Blog-Beitrag<\/a> zu der kritischen Zerologon-Schwachstelle. Der Blog-Beitrag enth\u00e4lt ein Whitepaper, in dem die vollst\u00e4ndigen Auswirkungen und die Ausf\u00fchrung der als CVE-2020-1472 identifizierten Schwachstelle erl\u00e4utert werden. Sie Schwachstelle hat die CVSSv3-Bewertung von 10,0 (H\u00f6chstpunktzahl) erhalten.<\/p>\n

CVE-2020-1472<\/a> ist eine Privilege Escalation-Schwachstelle, die aufgrund der unsicheren Verwendung der AES-CFB8-Verschl\u00fcsselung f\u00fcr Netlogon-Sitzungen erm\u00f6glicht wird. Der AES-CFB8-Standard schreibt vor, dass jedes Byte Klartext, wie z.B. ein Passwort, einen randomisierten Initialisierungsvektor (IV) haben muss, damit Passw\u00f6rter nicht erraten werden k\u00f6nnen. Die ComputeNetlogonCredential-Funktion in Netlogon setzt den IV auf feste 16 Bit, was bedeutet, dass ein Angreifer den entzifferten Text kontrollieren k\u00f6nnte.<\/p>\n

Ein Angreifer kann diese Schwachstelle ausnutzen, um die Identit\u00e4t einer beliebigen Maschine in einem Netzwerk vorzut\u00e4uschen, wenn er versucht, sich gegen\u00fcber dem Domain Controller (DC) zu authentifizieren. Weitere Angriffe sind dann m\u00f6glich, einschlie\u00dflich der vollst\u00e4ndigen \u00dcbernahme einer Windows-Dom\u00e4ne. Im Securas Whitepaper wird auch darauf hingewiesen, dass ein Angreifer in der Lage w\u00e4re, einfach das Impacket \"secretsdump\"-Skript<\/a> auszuf\u00fchren, um eine Liste von Benutzer-Hashes von einem Ziel-DC zu erhalten.<\/p>\n

Auf GitHub hat jemand<\/a> jetzt ein Proof of Concept (PoC) ver\u00f6ffentlicht<\/a>.\u00a0 heise widmet sich hier<\/a> diesem Thema und Bleeping Computer hat diesen Beitrag<\/a> dazu verfasst.<\/p>\n

Patch von August 2020 gegen CVE-2020-1472<\/h2>\n

Die Zerologon-Schwachstelle wurde von Microsoft mit den Sicherheitsupdates von August 2020 gepatcht (siehe auch Linkliste am Artikelende). Einen Hinweise von Tenable auf diesen Patch findet sich in diesem Tenable-Beitrag<\/a>. Administratoren sollten das betreffende Update z\u00fcgig installieren. Hier im Blog hatte ich in den beiden folgenden Blog-Beitr\u00e4gen auf die Implikationen im Zusammenhang mit diesem Update hingewiesen:<\/p>\n

Achtung: Windows Domain Controller erzeugen pl\u00f6tzlich EventID 5829-Warnungen (11.8.2020)<\/a>
\nWindows 10 V1607: Update KB4571694 erzeugt ID 5827-Events und brickt MMC<\/a><\/p>\n

\u00c4hnliche Artikel:
\n<\/strong>Microsoft Office Patchday (4. August 2020)<\/a>
\nMicrosoft Security Update Summary (11. August 2020)<\/a>
\nPatchday: Windows 10-Updates (11. August 2020)<\/a>
\nPatchday: Windows 8.1\/Server 2012-Updates (11. August 2020)<\/a>
\nPatchday: Updates f\u00fcr Windows 7\/Server 2008 R2 (11.8.2020)<\/a>
\nPatchday Microsoft Office Updates (11. August 2020)<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Sicherheitsforscher haben eine Schwachstelle in allen Windows Server-Versionen aufgedeckt, die eine Domain-\u00dcbernahme mit einem einfachen Ansatz erm\u00f6glicht. Diese Zerologon genannte Sicherheitsl\u00fccke (CVE-2020-1472) wurde mit den Sicherheitsupdates von August 2020 geschlossen. Wer diesen Patch noch nicht installiert hat, sollte schnellstm\u00f6glich reagieren.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,185,2557],"tags":[4328,4315,4364],"class_list":["post-235590","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-update","category-windows-server","tag-sicherheit","tag-update","tag-windows-server"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/235590","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=235590"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/235590\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=235590"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=235590"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=235590"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}