{"id":235924,"date":"2020-09-24T12:00:53","date_gmt":"2020-09-24T10:00:53","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=235924"},"modified":"2022-04-19T07:46:25","modified_gmt":"2022-04-19T05:46:25","slug":"zerologon-exploits-werden-ausgenutzt-patchen-windows-server-samba-ist-angesagt","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/09\/24\/zerologon-exploits-werden-ausgenutzt-patchen-windows-server-samba-ist-angesagt\/","title":{"rendered":"Zerologon Exploits werden ausgenutzt, patchen (Windows Server, Samba) ist angesagt"},"content":{"rendered":"

[English<\/a>]Ich hole das Thema Zerologon-Schwachstelle nochmals hoch. Microsoft warnt, dass Angreifer die Windows Server Zerologon-Exploits aktiv f\u00fcr Angriffe nutzen. Windows Server-Administratoren sollten dringend die notwendigen Sicherheitsupdates installieren. Aber auch Samba-Server sind anf\u00e4llig. Hier nochmals einige Informationen zum Thema.<\/p>\n

<\/p>\n

Die Zerologon-Sicherheitsl\u00fccke (CVE-2020-1472)<\/h2>\n

\"\"Ich hatte das Thema ja mehrfach im Blog (siehe Links am Artikelende). Die Zerologon-Sicherheitsl\u00fccke (CVE-2020-1472) ist eine Privilege Escalation-Schwachstelle aufgrund der unsicheren Verwendung der AES-CFB8-Verschl\u00fcsselung f\u00fcr Netlogon-Sitzungen. Die Schwachstelle erm\u00f6glicht die \u00dcbernahme von Active Directory Domain Controllern (DC) – auch Remote, falls der Domain-Controller per Netzwerk\/Internet erreichbar ist – durch nicht authorisierte Angreifer.<\/p>\n

Ich hatte im Blog-Beitrag Windows Server: Zerologon-Sicherheitsl\u00fccke (CVE-2020-1472) erlaubt Domain \u00dcbernahme<\/a> \u00fcber dieses Risiko berichtet. Zum letzten Wochenende warnte die US-Beh\u00f6rde f\u00fcr Cybersicherheit und Infrastruktursicherheit (CISA) und hat eine Dringlichkeitsanweisung erlassen, die den US-Regierungsbeh\u00f6rden eine Frist von vier Tagen f\u00fcr die Implementierung eines Windows Server-Patches gegen die Zerologon-Schwachstelle (CVE-2020-1472) einr\u00e4umt (siehe CISA-Warnung: Patcht eure Windows Server gegen CVE-2020-1472 (Zerologon)<\/a>).<\/p>\n

\"Microsoft<\/a>
\n(Microsoft Netlogon Tweets<\/a>)<\/p>\n

Jetzt lese ich bei Bleeping Computer<\/a>, dass auch Microsoft inzwischen eine Serie an Tweets<\/a> mit einer Warnung herausgegeben habe, weil Angreifer die Windows Server Zerologon-Exploits aktiv f\u00fcr Angriffe nutzen.<\/p>\n

Patches f\u00fcr Windows Server und Samba-Server verf\u00fcgbar<\/h2>\n

Microsoft schlie\u00dft die Schwachstelle in zwei Stufen, wie im Supportbeitrag KB4557222<\/a> nachzulesen ist. Mit dem Sicherheits-Updates vom 11. August 2020 (siehe Linkliste am Artikelende) wurde die erste Stufe der Absicherung eingeleitet. F\u00fcr die unterst\u00fctzten Windows Server-Varianten ist also eine Absicherung m\u00f6glich.<\/p>\n

F\u00fcr Windows Server 2008 R2 gibt es den Patch aber nur f\u00fcr Kunden, die das Microsoft ESU-Programm kostenpflichtig erworben haben (ist ohne Volumenlizenzvertrag faktisch unm\u00f6glich). Wer keinen Patch f\u00fcr Windows Server 2008 R2 bekommen hat, f\u00fcr den verweise ich auf die alternative L\u00f6sung von 0patch (siehe 0patch fixt Zerologon (CVE-2020-1472) in Windows Server 2008 R2<\/a>).<\/p>\n

Was ich bis vor wenigen Tagen nicht auf dem Radar hatte: Auch Samba-Server, die unter Linux laufen, sind durch die Zerologon-Schwachstelle betroffen<\/a>. Das Samba-Team hat ein Sicherheitsupdate ver\u00f6ffentlicht<\/a>, um die kritische Schwachstelle CVE-2020-1472 ab Samba 4.0 und h\u00f6her zu schlie\u00dfen. Diese Schwachstelle k\u00f6nnte es einem Remote Angreifer erm\u00f6glichen, die Kontrolle \u00fcber ein betroffenes System zu \u00fcbernehmen. Samba 8.0 und h\u00f6her besitzt diese Schwachstelle nicht, sofern die Kofigurationsdatei smb.conf nicht angepasst wurde (siehe Hinweise des Samba-Teams).<\/p>\n

Wie eine Infektion erkennen?<\/h2>\n

Abschlie\u00dfend noch ein kurzer Hinweis f\u00fcr Administratoren, die vor dem Problem stehen, eine Infektion \u00fcber die Zerologon-Schwachstelle detektieren zu m\u00fcssen. The Hacker News geben in diesem Artikel<\/a> eine kleine Hilfestellung. Der Sicherheitsanbieter Cynet erkl\u00e4rte nicht nur die Ursache des Problems<\/a>, sondern gab auch Einzelheiten zu einigen kritischen Artefakten bekannt. Diese k\u00f6nnen zur Erkennung einer aktiven Ausnutzung der Schwachstelle verwendet werden.<\/p>\n

Dazu geh\u00f6rt ein bestimmtes Speichermuster im Speicher des Prozesses lsass.exe <\/em>sowie eine anormale Steigerung des Datenverkehrs zwischen lsass.exe <\/em>und den Systemen des Angreifers. \"Das am besten dokumentierte Artefakt ist die Windows-Ereignis-ID 4742 'Ein Computerkonto wurde ge\u00e4ndert', oft kombiniert mit der Windows-Ereignis-ID 4672 'Spezielle Berechtigungen f\u00fcr neue Anmeldung'\", schreiben die Sicherheitsleute von Cynet.<\/p>\n

Damit Windows Server-Administratoren \u00e4hnliche Angriffe schnell erkennen k\u00f6nnen, haben die Sicherheitsexperten von Cynet f\u00fcr ihre eigene Software eine YARA-Regel ver\u00f6ffentlicht. F\u00fcr die Echtzeit\u00fcberwachung haben sie zudem ein einfaches Tool, \u00fcber die Datei Cynet-Zerologon-Detector.zip<\/em>, zum Herunterladen<\/a> zur Verf\u00fcgung gestellt. Der Cynet Zerologon Detector ist eine ausf\u00fchrbare Anwendung, die sich per Batch-Datei installieren und wieder deinstallieren l\u00e4sst. Details lassen sich in diesem Cynet-Artikel<\/a> nachlesen.<\/p>\n

Es gibt zudem das Open Source-Paket Zeek zur Erkennung der Angriffe<\/a>. Inzwischen haben die Anbieter von SIEMS-L\u00f6sungen ebenfalls Vorkehrungen zur Erkennung von Zerologon-Angriffen getroffen, wie ich bei einer schnellen Internetsuche gerade feststelle.\u00a0 Vielleicht hilft es weiter.<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nWindows Server: Zerologon-Sicherheitsl\u00fccke (CVE-2020-1472) erlaubt Domain \u00dcbernahme<\/a>
\nCISA-Warnung: Patcht eure Windows Server gegen CVE-2020-1472 (Zerologon)<\/a>
\n0patch fixt Zerologon (CVE-2020-1472) in Windows Server 2008 R2<\/a>
\nAchtung: Windows Domain Controller erzeugen pl\u00f6tzlich EventID 5829-Warnungen (11.8.2020)<\/a>
\nWindows 10 V1607: Update KB4571694 erzeugt ID 5827-Events und brickt MMC<\/a><\/p>\n

Microsoft Security Update Summary (11. August 2020)<\/a>
\nPatchday: Windows 10-Updates (11. August 2020)<\/a>
\nPatchday: Windows 8.1\/Server 2012-Updates (11. August 2020)<\/a>
\nPatchday: Updates f\u00fcr Windows 7\/Server 2008 R2 (11.8.2020)<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Ich hole das Thema Zerologon-Schwachstelle nochmals hoch. Microsoft warnt, dass Angreifer die Windows Server Zerologon-Exploits aktiv f\u00fcr Angriffe nutzen. Windows Server-Administratoren sollten dringend die notwendigen Sicherheitsupdates installieren. Aber auch Samba-Server sind anf\u00e4llig. Hier nochmals einige Informationen zum Thema.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[95,426,2557],"tags":[4305,4328,4364],"class_list":["post-235924","post","type-post","status-publish","format-standard","hentry","category-linux","category-sicherheit","category-windows-server","tag-linux","tag-sicherheit","tag-windows-server"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/235924","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=235924"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/235924\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=235924"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=235924"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=235924"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}