{"id":236120,"date":"2020-09-30T00:10:26","date_gmt":"2020-09-29T22:10:26","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=236120"},"modified":"2020-09-30T00:24:42","modified_gmt":"2020-09-29T22:24:42","slug":"microsoft-przisiert-das-patchen-der-netlogon-schwachstelle-cve-2020-1472","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/09\/30\/microsoft-przisiert-das-patchen-der-netlogon-schwachstelle-cve-2020-1472\/","title":{"rendered":"Microsoft präzisiert das Patchen der Netlogon-Schwachstelle (CVE-2020-1472)"},"content":{"rendered":"

[English<\/a>]Microsoft hat seine Handlungsempfehlungen im Hinblick auf das Schlie\u00dfen der Netlogon-Schwachstelle in Windows Server-Installationen, die als Domain Controller fungieren, \u00fcberarbeitet und pr\u00e4zisiert. Damit reagiert man auf R\u00fcckmeldungen von Nutzern, die durch die bisherigen Supportbeitr\u00e4ge verwirrt waren.<\/p>\n

<\/p>\n

Die Schwachstelle, die Updates und Unsicherheiten<\/h2>\n

\"\"\u00dcber die Netlogon-Schwachstelle in Windows Server hatte ich mehrfach im Blog berichtet (siehe Links am Artikelende). Bei der Zerologon-Sicherheitsl\u00fccke (CVE-2020-1472) handelt es sich um eine Privilege Escalation-Schwachstelle aufgrund der unsicheren Verwendung der AES-CFB8-Verschl\u00fcsselung f\u00fcr Netlogon-Sitzungen. Die Schwachstelle erm\u00f6glicht die \u00dcbernahme von Active Directory Domain Controllern (DC) \u2013 auch Remote, falls der Domain-Controller per Netzwerk\/Internet erreichbar ist \u2013 durch nicht autorisierte Angreifer.<\/p>\n

Ich hatte im Blog-Beitrag Windows Server: Zerologon-Sicherheitsl\u00fccke (CVE-2020-1472) erlaubt Domain \u00dcbernahme<\/a> \u00fcber dieses Risiko berichtet. Microsoft hatte zum 11. August 2020 Sicherheitsupdates zum Abschw\u00e4chen der Sicherheitsl\u00fccke ver\u00f6ffentlich. Da die Schwachstelle angegriffen wird, forderte Microsoft zum Patchen auf (siehe Zerologon Exploits werden ausgenutzt, patchen (Windows Server, Samba) ist angesagt<\/a>).<\/p>\n

Von Microsoft wird die Schwachstelle in zwei Stufen geschlossen, wie man im Supportbeitrag KB4557222<\/a> nachlesen kann. Mit dem Sicherheits-Updates vom 11. August 2020 (siehe Linkliste am Artikelende) wurde die erste Stufe der Absicherung eingeleitet. Im Februar 2021 wird die zweite Stufe zum Schlie\u00dfen der Schwachstelle bereitgestellt.<\/p>\n

Microsoft pr\u00e4zisiert die Vorgehensweise zur Absicherung<\/h2>\n

Der Supportbeitrag KB4557222<\/a> hat aber nicht nur hier im Blog Fragen provoziert. Microsoft hat wohl viele R\u00fcckfragen verunsicherter Kunden erhalten und musste reagieren. Den Kollegen von Bleeping Computer ist aufgefallen<\/a>, dass Microsoft in der englischsprachigen Fassung des Supportbeitrags KB4557222<\/a> die nachfolgende Pr\u00e4zisierung zur Vorgehensweise nachgetragen hat.<\/p>\n

Take Action<\/p>\n

To protect your environment and prevent outages, you must do the following:<\/p>\n

    \n
  1. UPDATE<\/a> your Domain Controllers with an update released August 11, 2020 or later.<\/li>\n
  2. FIND<\/a> which devices are making vulnerable connections by monitoring event logs.<\/li>\n
  3. ADDRESS<\/a> non-compliant devices making vulnerable connections.<\/li>\n
  4. ENABLE<\/a> enforcement mode to address CVE-2020-1472<\/a> in your environment.<\/li>\n<\/ol>\n

    Note <\/strong>Step 1 of installing updates released August 11, 2020 or later will address security issue in CVE-2020-1472<\/a> for Active Directory domains and trusts, as well as Windows devices. To fully mitigate the security issue for third-party devices, you will need to complete all the steps.<\/p>\n

    Warning <\/strong>Starting February 2021, enforcement mode will be enabled on all Windows Domain Controllers and will block vulnerable connections from non-compliant devices.\u00a0 At that time, you will not be able to disable enforcement mode.<\/p><\/blockquote>\n

    In Kurzform: Zur Absicherung reicht es, vorerst die Sicherheitsupdates vom 11. August 2020 und nachfolgende Patches zu installieren. Anschlie\u00dfend sollten Administratoren pr\u00fcfen, welches Ger\u00e4te noch eine unsichere Kommunikation mit dem Domain Controller versuchen und diese Ger\u00e4te f\u00fcr eine sichere Kommunikation nachr\u00fcsten. Erst danach k\u00f6nnte die endg\u00fcltige Absicherung durch Setzen eines im Supportbeitrags aufgef\u00fchrten Registrierungseintrags erfolgen. Dies wird von Microsoft sp\u00e4testens im Februar 2021 durch ein Sicherheitsupdate erzwungen.<\/p>\n

    \u00c4hnliche Artikel:<\/strong>
    \n    Windows Server: Zerologon-Sicherheitsl\u00fccke (CVE-2020-1472) erlaubt Domain \u00dcbernahme<\/a>
    \n    CISA-Warnung: Patcht eure Windows Server gegen CVE-2020-1472 (Zerologon)<\/a>
    \n    0patch fixt Zerologon (CVE-2020-1472) in Windows Server 2008 R2<\/a>
    \n    Achtung: Windows Domain Controller erzeugen pl\u00f6tzlich EventID 5829-Warnungen (11.8.2020)<\/a>
    \n    Windows 10 V1607: Update KB4571694 erzeugt ID 5827-Events und brickt MMC<\/a><\/p>\n

    Microsoft Security Update Summary (11. August 2020)<\/a>
    \n    Patchday: Windows 10-Updates (11. August 2020)<\/a>
    \n    Patchday: Windows 8.1\/Server 2012-Updates (11. August 2020)<\/a>
    \n    Patchday: Updates f\u00fcr Windows 7\/Server 2008 R2 (11.8.2020)<\/a>
    \n    Zerologon Exploits werden ausgenutzt, patchen (Windows Server, Samba) ist angesagt<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

    [English]Microsoft hat seine Handlungsempfehlungen im Hinblick auf das Schlie\u00dfen der Netlogon-Schwachstelle in Windows Server-Installationen, die als Domain Controller fungieren, \u00fcberarbeitet und pr\u00e4zisiert. Damit reagiert man auf R\u00fcckmeldungen von Nutzern, die durch die bisherigen Supportbeitr\u00e4ge verwirrt waren.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,185,2557],"tags":[8176,4328,4315,4364],"class_list":["post-236120","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-update","category-windows-server","tag-cve-2020-1472","tag-sicherheit","tag-update","tag-windows-server"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/236120","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=236120"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/236120\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=236120"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=236120"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=236120"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}