Anzeige

Schwachstelle

CVE-2020-1472, besser bekannt als Zerologon, ist eine kritische Schwachstelle in allen derzeit unterstützten Versionen von Microsoft Windows Server (Windows 2008 R2, 2012, 2016, 2019). Es handelt sich um eine Privilegien-Eskalations-Schwachstelle.

Sie entsteht durch einen Fehler im Netlogon Remote Protocol (MS-NRPC). Die Sicherheitslücke ermöglicht es einem Angreifer, sich als ein System auszugeben, einschließlich des Maschinenkontos des Domain-Controllers selbst.

Inzwischen wurden weitere Möglichkeiten entdeckt, die Zerologon-Schwachstelle über das Zurücksetzen der Domain-Passwörter hinaus auszunutzen. Eine weitere Möglichkeit ist unter anderem die Extraktion von Domain-Passwörtern. Diese Entwicklung erhöht das Risiko, dem Unternehmen weltweit ausgesetzt sind. Damit ein solcher Angriff erfolgreich ist, müsste sich ein Angreifer zunächst Fernzugriff oder physischen Zugriff auf ein Gerät – wie z.B. einen Domänencontroller – im gleichen Netzwerk verschaffen. Gültige Domain-Zugangsdaten oder die Domain-Mitgliedschaft sind jedoch keine Voraussetzungen für einen erfolgreichen Angriff.

„Inzwischen warnen auch Hardware-Hersteller wie QNAP oder öffentliche Stellen wie das BSI vor der Ausnutzung der Schwachstelle. Unternehmen können sich nicht auf das Patchen allein verlassen und sollten stattdessen in moderne Sicherheitslösungen zur Erkennung von Angriffen investieren. Dank unserer Sicherheitsforscher gehörten wir zu den ersten, die den Angriff auf Endpoint-Ebene detektieren konnten. Leider sind solche Schwachstellen keine Seltenheit und es gibt nicht viel, was Unternehmen tun können, um sich darauf vorzubereiten. Deshalb ist es so wichtig auf KI-Sicherheitslösungen zu setzen,“ kommentiert Matthias Canisius, Regional Director CEU bei SentinelOne. 

Schwachstelle erfordert Maßnahmen

Seit der Bekanntgabe der Schwachstelle wurde Exploit-Code gefunden. Die CISA hat erklärt, dass die Schwachstelle ein inakzeptables Risiko darstelle und sofortige und dringende Maßnahmen erfordere. Obwohl Microsoft einen ersten Patch für Zerologon veröffentlicht hat, ist dies nur der Beginn einer schrittweisen Einführung, die der Hersteller des Betriebssystems voraussichtlich mindestens bis zum ersten Quartal 2021 dauern wird. In der Zwischenzeit weist Microsofts Hinweis darauf hin, dass das aktuelle Update nur unterstützte Windows-Geräte schützt, so dass ältere Windows-Versionen und andere Geräte, die mit Domänencontrollern über das Netlogon MS-NRPC-Protokoll kommunizieren, anfällig für Übergriffe sind.

Darüber hinaus verhindert der anfängliche Patch nicht einen Angriff, der Zerologon ausnutzt. Vielmehr fügt er eine Protokollierung hinzu, um unsichere RPC zu erkennen, und eine Registrierungseinstellung, um unsichere RPC zu deaktivieren, wenn es keine Geräte gibt, die das Protokoll verwenden. Die Herausforderung für die Sicherheitsteams von Unternehmen besteht darin, dass dies zu einem Bruch von Legacy-Anwendungen führen kann, wenn es einfach nur ausgeschaltet wird. Daher sind sie selbst mit dem derzeit verfügbaren Patch immer noch anfällig, wenn ihre Organisation die Registrierungseinstellung nicht deaktivieren kann. 

Tipps zum Aufspüren und zur Abwehr von Zerologon-Missbrauch

Aus Endpunktsicht kann es schwierig sein, diesen Angriff zu erkennen, da sich der Angreifer im Wesentlichen auf eine Weise gegenüber der Domain authentifiziert, die dem Verhalten eines legitimen Benutzers/Kontos ähnelt. Darüber hinaus liegt der primäre Angriffsvektor auf der Netzwerkebene, im Gegensatz zur Interaktion mit dem Dateisystem eines Hosts. Infolgedessen ist die direkte Adressierung der Schwachstelle für viele traditionelle Endpunkt-Sicherheitslösungen „out-of-scope“.

www.sentinelone.com


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Artikel zu diesem Thema

Cybercrime
Okt 21, 2020

Wie Cyberkriminelle ihre Schadsoftware noch gefährlicher machen

Mit immer clevereren Methoden versuchen Cyberkriminelle sowohl Privatnutzern als auch…
Sicherheit_Schloss
Okt 17, 2020

Zerologon und die Rolle von Monitoring im Vulnerability Management

Vulnerability Management ist eine der grundlegenden Methoden in der Cybersicherheit, um…
Schwachstelle
Okt 15, 2020

Nicht alle Schwachstellen sind eine Bedrohung

Die Computernetzwerke von Organisationen werden ständig erweitert: IT, Cloud, IoT und OT…

Weitere Artikel

Cyberattack

Schadprogramm IceRat hat es auf Nutzerpasswörter und illegales Coin-Mining abgesehen

Die Schadsoftware IceRat spioniert die Zugangsdaten von Nutzern für verschiedene Online-Dienste aus und kann bei einer Infektion ungewollt die Stromrechnung von Anwendern in die Höhe treiben - durch verdecktes illegales Coin-Mining.
Cyberattacke

Weitere Verdopplung der Cyberattacken im dritten Quartal

Im dritten Quartal des Jahres mussten die Cyber-Defense-Spezialisten aus Bochum fast doppelt so viele Cyber-Angriffe wie im zweiten Quartal 2020 abwehren. Mit großen Kampagnen attackieren Angreifer sowohl private Rechner, als auch Firmennetzwerke. Besonders…

Digitale Sicherheit in der Vorweihnachtszeit

Mitte 2020 hat das Cybereason Research Team eine aktive Malware-Kampagne entdeckt, die brasilianische Kunden von MercadoLivre, einem der größten Online-Markplätze Lateinamerikas, ins Visier genommen hat.

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!