{"id":238764,"date":"2020-12-10T07:31:50","date_gmt":"2020-12-10T06:31:50","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=238764"},"modified":"2020-12-10T07:55:07","modified_gmt":"2020-12-10T06:55:07","slug":"microsoft-patcht-windows-kerberos-schwachstelle-cve-2020-16996-mit-dez-2020-updates","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/12\/10\/microsoft-patcht-windows-kerberos-schwachstelle-cve-2020-16996-mit-dez-2020-updates\/","title":{"rendered":"Microsoft patcht Windows Kerberos-Schwachstelle CVE-2020-16996 mit Dez. 2020-Updates"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" height=\"47\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2020\/12\/10\/microsoft-patches-new-windows-kerberos-vulnerability-cve-2020-16996-with-dec-2020-updates\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]Mit den Dezember 2020-Updates unternimmt Microsoft einen weiteren Versuch, die neue Kerberos-Schwachstelle CVE-2020-16996 in Active Directory Domain Controllern (DCs) mit einer gestuften Vorgehensweise zu schlie\u00dfen. Das geht aus einem am 8. Dezember 2020 ver\u00f6ffentlichten Support-Beitrag hervor.<\/p>\n<p><!--more--><\/p>\n<h2>Die Schwachstelle CVE-2020-16996<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg05.met.vgwort.de\/na\/975475a2e9c74f6a8af98034bf78d284\" alt=\"\" width=\"1\" height=\"1\" \/>Die (neu entdeckte) Schwachstelle CVE-2020-16996 wirkt sich quasi auf Active Directory-Dom\u00e4nencontrollern (AD DC) aus, wenn <a href=\"https:\/\/docs.microsoft.com\/en-us\/windows-server\/identity\/ad-ds\/manage\/how-to-configure-protected-accounts#BKMK_AddtoProtectedUsers\" target=\"_blank\" rel=\"noopener\">gesch\u00fctzte Benutzer<\/a> und <a href=\"https:\/\/docs.microsoft.com\/en-us\/windows-server\/security\/kerberos\/kerberos-constrained-delegation-overview#resource-based-constrained-delegation-across-domains\" target=\"_blank\" rel=\"noopener\">ressourcenbasierte Delegierung<\/a> (RBCD) verwendet werden. Informationen zur Schwachstelle <a href=\"https:\/\/msrc.microsoft.com\/update-guide\/en-US\/vulnerability\/CVE-2020-16996\" target=\"_blank\" rel=\"noopener\">CVE-2020-16996<\/a> sind sp\u00e4rlich. Die Schwachstelle im Kerberos-Authentifizierungsprozess erm\u00f6glicht Angreifern mit niedrigen Rechten einen Remote Code-Angriff auf die Netzwerkinfrastruktur der genannten Umgebungen auszuf\u00fchren. Microsoft hat zwar noch keine Angriffe beobachtet, gibt die Komplexit\u00e4t zur Ausnutzung aber als niedrig an.<\/p>\n<h2>Support-Beitrag skizziert Vorgehensweise<\/h2>\n<p>Microsoft hat zum Patchday, 8. Dezember 2020, einen Fix f\u00fcr diese Schwachstelle in den Sicherheitsupdates f\u00fcr die diversen Windows-Versionen mit ausgerollt, ohne dies explizit anzugeben (siehe nachfolgende Links zum Patchday). Aber ein, am 8. Dezember 2020 ver\u00f6ffentlichter Support-Beitrag <a href=\"https:\/\/support.microsoft.com\/help\/4577252\/\" target=\"_blank\" rel=\"noopener\">KB4577252<\/a> (Verwalten der Bereitstellung von RBCD\/gesch\u00fctzten Benutzer \u00c4nderungen f\u00fcr CVE-2020-16996) geht auf das Thema ein. Dort gibt Microsoft konkret folgende Anweisungen, um die Schwachstelle zu schlie\u00dfen und die Active Directory DC-Umgebung abzusichern:<\/p>\n<ul>\n<li>Aktualisieren Sie alle Ger\u00e4te, die die Active Directory-Dom\u00e4nencontrollerrolle hosten, indem Sie das Windows-Update vom 8. Dezember, 2020 oder ein h\u00f6heres Windows-Update installieren. Beachten Sie, dass die Sicherheitsanf\u00e4lligkeit durch die Installation von Windows Update nicht vollst\u00e4ndig verringert wird. Sie m\u00fcssen Schritt 2 ausf\u00fchren.<\/li>\n<li>Aktivieren Sie den Erzwingungs-Modus auf allen Active Directory-Dom\u00e4nencontrollern. Ab dem Update vom 9. Februar 2021 kann der Erzwingungs-Modus auf allen Windows-Dom\u00e4nencontrollern aktiviert werden.<\/li>\n<\/ul>\n<p>Die anf\u00e4ngliche Bereitstellungsphase des Patches zum Schlie\u00dfen der Schwachstelle CVE-2020-16996 beginnt also mit dem am 8. Dezember 2020 ver\u00f6ffentlichten Windows-Updates. Ab dem 9. Februar 2021 wird die sogenannte Erzwingungs-Phase durch ein weiteres Windows-Update ausgerollt. Diese und sp\u00e4tere Windows-Updates nehmen \u00c4nderungen an Kerberos vor.<\/p>\n<p>Microsoft gibt im Support-Beitrag <a href=\"https:\/\/support.microsoft.com\/help\/4577252\/\" target=\"_blank\" rel=\"noopener\">KB4577252<\/a> eine detaillierte Anleitung, wie Administratoren betroffener Systeme vorzugehen haben und was alles zu beachten ist. Beachtet vor allem die Hinweise auf m\u00f6glicherweise auftretende Authentifizierungsprobleme, wenn Updates und Anpassungen an der Registrierung inkonsistent erfolgen. Diesen Fall hatten wir ja bereits mit den November 2020-Updates (siehe Link-Liste, z.B. <a href=\"https:\/\/borncity.com\/blog\/2020\/11\/19\/weitere-windows-updates-mit-fix-fr-kerberos-authentication-problem-19-11-2020\/\">Weitere Windows-Updates mit Fix f\u00fcr Kerberos-Authentication-Problem (19.11.2020)<\/a>). (<a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/microsoft-fixes-new-windows-kerberos-security-bug-in-staged-rollout\/\" target=\"_blank\" rel=\"noopener\">via<\/a>)<\/p>\n<p><strong>\u00c4hnliche Artikel:<\/strong><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2020\/12\/09\/patchday-windows-10-updates-8-dezember-2020\/\">Patchday: Windows 10-Updates (8. Dezember 2020)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2020\/12\/09\/patchday-updates-fr-windows-7-server-2008-r2-9-12-2020\/\">Patchday: Updates f\u00fcr Windows 7\/Server 2008 R2 (8.12.2020)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2020\/12\/09\/patchday-windows-8-1-server-2012-updates-8-12-2020\/\">Patchday: Windows 8.1\/Server 2012-Updates (8.12.2020)<\/a><\/p>\n<p><a href=\"https:\/\/borncity.com\/blog\/2020\/11\/18\/windows-sonderupdates-fix-fr-kerberos-authentication-problem\/\">Windows-Sonderupdates: Fix f\u00fcr Kerberos-Authentication-Problem<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2020\/11\/18\/windows-server-2012-r2-sonderpatch-fr-kerberos-authentication-problem\/\">Windows Server 2012\/R2: Sonderpatch f\u00fcr Kerberos-Authentication-Problem<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2020\/11\/19\/weitere-windows-updates-mit-fix-fr-kerberos-authentication-problem-19-11-2020\/\">Weitere Windows-Updates mit Fix f\u00fcr Kerberos-Authentication-Problem (19.11.2020)<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Mit den Dezember 2020-Updates unternimmt Microsoft einen weiteren Versuch, die neue Kerberos-Schwachstelle CVE-2020-16996 in Active Directory Domain Controllern (DCs) mit einer gestuften Vorgehensweise zu schlie\u00dfen. Das geht aus einem am 8. Dezember 2020 ver\u00f6ffentlichten Support-Beitrag hervor.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,185,2557],"tags":[4328,4315,4364],"class_list":["post-238764","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-update","category-windows-server","tag-sicherheit","tag-update","tag-windows-server"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/238764","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=238764"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/238764\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=238764"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=238764"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=238764"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}