Letzten September hat die US-Cybersicherheitsbeh\u00f6rde CISA (Cybersecurity and Infrastructure Security Agency), die selten Verordnungen bez\u00fcglich spezifischer Schwachstellen erl\u00e4sst, eine Notfall-Richtlinie ver\u00f6ffentlicht in der US-Regierungs-Admins, die Active Directory f\u00fcr ihre Windows-Netzwerke verwenden, angewiesen wurden, die Systeme gegen Zerologon abzusichern. Zerologon (CVE-2020-1472) ist eine kritische Sicherheitsl\u00fccke im Netlogon-Protokoll des Active Directorys.<\/p>\n
Die Zerologon-Schwachstelle<\/a> beruht auf einen unzuverl\u00e4ssigen kryptografischen Algorithmus im Netlogon-Authentifizierungsprozess. Die Sicherheitsl\u00fccke erm\u00f6glicht es Angreifern, die eine Verbindung zum Unternehmensnetzwerk aufgebaut oder einen Computer des Netzwerkes f\u00fcr einen Angriff infiziert haben, die Kontrolle \u00fcber den Domaincontroller (DC) zu \u00fcbernehmen.<\/p>\n Der Schweregrad dieser gef\u00e4hrlichen Schwachstelle betr\u00e4gt 10 (der h\u00f6chste Wert) nach dem Common Vulnerability Scoring System (CVSS). Microsoft ver\u00f6ffentlichte letzten August einen Patch, doch erst die umfassende Studie des niederl\u00e4ndischen Sicherheitsunternehmens Secura lenkte die Aufmerksamkeit auf Zerologon und die bestehenden Exploit-M\u00f6glichkeiten. Bereits Stunden sp\u00e4ter ver\u00f6ffentlichten Forscher ihre eigenen Machbarkeitsstudien, bzw. Proofs of Concept (PoC)<\/a>. Innerhalb von wenigen Tagen waren in GitHub mindestens vier Open Source Codes zu finden, die zeigten wie die Schwachstelle in der Praxis ausgenutzt werden k\u00f6nnte.<\/p>\n Die ver\u00f6ffentlichte Machbarkeitsstudie erregte nat\u00fcrlich nicht nur die Aufmerksamkeit der IT-Sicherheitsexperten, sondern lockte auch Cyberverbrecher an \u2013 die den Code nur ausschneiden und ohne Weiteres in ihre Malware einf\u00fcgen konnten. Anfang Oktober berichtete Microsoft<\/a>, dass die Hacker-Gruppe TA505 versucht hatte Zerologon auszunutzen. Die Cyberkriminellen tarnten die Malware als Software-Update und installierten Angriffs-Tools f\u00fcr den Exploit der Schwachstelle auf den infizierten Computern.<\/p>\n Eine weitere Gruppe, die hinter der Ryuk-Ransomware steckt, nutzte Zerologon aus, um das komplette lokale Netzwerk eines Unternehmens in nur f\u00fcnf Stunden zu infizieren<\/a>. Sie schickten eine Phishing-E-Mail, die von einem Mitarbeiter angeklickt wurde und schon war der Computer infiziert. \u00dcber den infizierten Computer konnten die Angreifer sich seitlich im Netzwerk bewegen und eine Ransomware einschleusen, die auf allen Servern und Workstations ausf\u00fchrbar war.<\/p>\n Auch wenn es auf den ersten Blick f\u00fcr den Exploit von Zerologon notwendig erscheinen mag, einen Domaincontroller innerhalb des lokalen Netzwerkes anzugreifen, haben Cyberkriminelle dieses Hindernis l\u00e4ngst umgangen, indem sie \u00fcber diverse Methoden einen Computer im Netzwerk hacken. Zu den Methoden z\u00e4hlen Phishing, Supply-Chain-Angriffe und sogar unbeaufsichtigte Netzwerkbuchsen in Besucherbereichen. Eine weitere Gefahr stellen die Remote-Verbindungen dar (die heutzutage quasi alle Unternehmen verwenden) \u2013 besonders wenn Mitarbeiter \u00fcber ihre eigenen Ger\u00e4te auf Unternehmensressourcen zugreifen k\u00f6nnen.<\/p>\n Das Hautproblem bei Zerologon (und anderen hypothetischen Schwachstellen dieser Art) ist, dass der Exploit genauso aussieht wie ein Standard-Datenaustausch zwischen einem Computer des Netzwerkes und einem Domaincontroller. Allein der ungew\u00f6hnlich hohe Datenaustausch k\u00f6nnte Verdacht hervorrufen. Aus diesem Grund haben Unternehmen, die sich nur auf Endpoint-Sicherheitsl\u00f6sungen verlassen, kaum Chancen diese Art von Angriffen zu entdecken.<\/p>\n F\u00fcr diese Art von Anomalien ist es am besten einen spezialisierten Service zu verwenden, wie beispielsweise Kaspersky Managed Detection and Response (MDR). Es handelt sich um ein externes Sicherheitscenter mit fundierten Kenntnissen \u00fcber die Taktiken von Cyberkriminellen, das dem Kunden detaillierte und praktische Empfehlungen bietet.<\/p>\n Die L\u00f6sung besteht aus zwei Stufen: MDR Optimum und MDR Expert. Als die Details von Zerologon ver\u00f6ffentlicht wurden, begannen die Experten von Kasperskys Security Operations Center (SOC) sofort, im Rahmen des MDR-Service, die Exploit-Versuche zu tracken. Das Ziel bestand darin sicherzustellen, dass beide Versionen von Kaspersky Managed Detection and Response l\u00fcckenlosen Schutz vor dieser Bedrohung gew\u00e4hrleisten.<\/p>\n Kaspersky Optimum Security<\/a> umfasst Kaspersky Managed Detection and Response. Mehr Informationen zu dieser L\u00f6sung finden Sie auf der MDR-Seite von Kaspersky<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":" Der Schutz allein von Workstations reicht nicht aus, um die Unternehmensinfrastruktur vor dieser Bedrohung zu sch\u00fctzen. <\/p>\n","protected":false},"author":2581,"featured_media":26377,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2711,1848,3107,3108],"tags":[1498,382,3785],"class_list":{"0":"post-26376","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-business","9":"category-enterprise","10":"category-smb","11":"tag-schwachstellen","12":"tag-sicherheitslucken","13":"tag-unerlaubter-zugriff"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/zerologon-threat-mdr\/26376\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/zerologon-threat-mdr\/22621\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/zerologon-threat-mdr\/18114\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/zerologon-threat-mdr\/8993\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/zerologon-threat-mdr\/22433\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/zerologon-threat-mdr\/21467\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/zerologon-threat-mdr\/24926\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/zerologon-threat-mdr\/24178\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/zerologon-threat-mdr\/30359\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/zerologon-threat-mdr\/9440\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/zerologon-threat-mdr\/39026\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/zerologon-threat-mdr\/16565\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/zerologon-threat-mdr\/17212\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/zerologon-threat-mdr\/23721\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/zerologon-threat-mdr\/29001\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/zerologon-threat-mdr\/28803\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/sicherheitslucken\/","name":"Sicherheitsl\u00fccken"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/26376","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/2581"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=26376"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/26376\/revisions"}],"predecessor-version":[{"id":26386,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/26376\/revisions\/26386"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/26377"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=26376"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=26376"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=26376"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Zerologon in echten Angriffen<\/h2>\n
Warum Zerologon so gef\u00e4hrlich ist<\/h2>\n