Zerologon-Sicherheitslücke bedroht Domänencontroller

Zum Patch-Tuesday des diesjährigen Augusts schloss Microsoft mehrere Sicherheitslücken, darunter auch CVE-2020-1472. Die Netlogon-Protokoll-Sicherheitslücke erhielt eine CVSS-Bewertung von 10 und wurde somit als „kritisch“ eingestuft. Dass sie eine Bedrohung darstellen könnte, wurde nie bezweifelt, aber neulich veröffentlichte der Secura-Forscher, der die Schwachstelle entdeckte, Tom Tervoort einen detaillierten Bericht, in dem er erklärte, warum die als Zerologon bekannte Sicherheitslücke so gefährlich ist und wie sie zur Übernahme eines Domänencontrollers genutzt werden kann.

Um was handelt es sich bei Zerologon?

Im Wesentlichen ist CVE-2020-1472 das Ergebnis eines Fehlers im kryptographischen Authentifizierungsverfahren des Netlogon Remote Protocol. Das Protokoll authentifiziert Benutzer und Rechner in domänenbasierten Netzwerken und wird auch zur Fern-Aktualisierung von Computer-Passwörtern verwendet. Durch die Schwachstelle kann sich ein Angreifer als Client-Computer ausgeben und das Kennwort eines Domänencontrollers (ein Server, der ein ganzes Netzwerk steuert und Active Directory-Dienste ausführt) ersetzen, wodurch der Angreifer Domänenverwaltungsrechte erlangen kann.

Wer ist angreifbar?

CVE-2020-1472 stellt ein Risiko für Unternehmen dar, deren Netzwerke auf Windows Server-Domänencontrollern basieren. So können Cyberkriminelle einen Domänencontroller übernehmen, der auf einer beliebigen Version von Windows Server 2019 oder Windows Server 2016 sowie einer beliebigen Edition von Windows Server Version 1909, Windows Server Version 1903, Windows Server Version 1809 (Datacenter- und Standard-Editionen), Windows Server 2012 R2, Windows Server 2012 oder Windows Server 2008 R2 Service Pack 1 basiert. Um angreifen zu können, müssten Cyberkriminelle zunächst in das Unternehmensnetzwerk eindringen, aber das ist keine große Hürde. Insbesondere Insider-Angriffe und Infiltrierungen über Ethernet-Anschlüsse in öffentlich zugänglichen Räumlichkeiten sind keine Präzedenzfälle mehr.

Glücklicherweise wurde Zerologon bisher noch nicht bei einem realen Angriff eingesetzt (oder zumindest wurde noch nichts darüber berichtet). Der Bericht von Tervoort hat jedoch für Aufsehen gesorgt und höchstwahrscheinlich die Aufmerksamkeit von Cyberkriminellen erregt. Obwohl die Forscher keinen funktionierenden Proof-of-Concept veröffentlicht haben, haben sie keinen Zweifel daran, dass Angreifer auf der Grundlage der Patches einen solchen erstellen können.

Wie man sich gegen Zerologon-basierte Angriffe schützt

Microsoft hat Anfang August Patches veröffentlicht, um die Schwachstelle für alle betroffenen Systeme zu schließen. Wenn Sie also Ihre Systeme noch nicht aktualisiert haben, ist es höchste Zeit, dies zu tun. Darüber hinaus empfiehlt Microsoft, alle Anmeldeversuche über die anfällige Version des Protokolls zu überwachen und Geräte zu identifizieren, welche die neue Version nicht unterstützen. Idealerweise, so Microsoft, sollte der Domänencontroller auf einen Modus gesetzt werden, in dem alle Geräte die sichere Version von Netlogon verwenden müssen.

Die Updates erzwingen diese Einschränkung nicht, da das Netlogon Remote-Protocol nicht nur in Windows verwendet wird. Viele Geräte, die auf anderen Betriebssystemen basieren, sind ebenfalls auf das Protokoll angewiesen. Wenn Sie die Verwendung des sicheren Netlogons zwingend vorschreiben, werden Geräte, die die sichere Version nicht unterstützen, nicht richtig funktionieren.

Nichtsdestotrotz müssen alle Domänencontroller ab dem 9. Februar 2021 den Erzwingungsmodus verwenden (d. h. alle Geräte werden dazu gezwungen, das aktualisierte, sichere Netlogon zu verwenden), so dass Administratoren das Problem der Drittanbieter-Gerätekonformität im Voraus lösen müssen (durch Updates oder manuelles Hinzufügen von Ausnahmen). Weitere Informationen über den August-Patch, die kommenden Änderungen im Februar sowie detaillierte Richtlinien finden Sie in diesem Microsoft Beitrag.