Anzeige

Schwachstelle

CVE-2020-1472, besser bekannt als Zerologon, ist eine kritische Schwachstelle in allen derzeit unterstützten Versionen von Microsoft Windows Server (Windows 2008 R2, 2012, 2016, 2019). Es handelt sich um eine Privilegien-Eskalations-Schwachstelle.

Sie entsteht durch einen Fehler im Netlogon Remote Protocol (MS-NRPC). Die Sicherheitslücke ermöglicht es einem Angreifer, sich als ein System auszugeben, einschließlich des Maschinenkontos des Domain-Controllers selbst.

Inzwischen wurden weitere Möglichkeiten entdeckt, die Zerologon-Schwachstelle über das Zurücksetzen der Domain-Passwörter hinaus auszunutzen. Eine weitere Möglichkeit ist unter anderem die Extraktion von Domain-Passwörtern. Diese Entwicklung erhöht das Risiko, dem Unternehmen weltweit ausgesetzt sind. Damit ein solcher Angriff erfolgreich ist, müsste sich ein Angreifer zunächst Fernzugriff oder physischen Zugriff auf ein Gerät – wie z.B. einen Domänencontroller – im gleichen Netzwerk verschaffen. Gültige Domain-Zugangsdaten oder die Domain-Mitgliedschaft sind jedoch keine Voraussetzungen für einen erfolgreichen Angriff.

„Inzwischen warnen auch Hardware-Hersteller wie QNAP oder öffentliche Stellen wie das BSI vor der Ausnutzung der Schwachstelle. Unternehmen können sich nicht auf das Patchen allein verlassen und sollten stattdessen in moderne Sicherheitslösungen zur Erkennung von Angriffen investieren. Dank unserer Sicherheitsforscher gehörten wir zu den ersten, die den Angriff auf Endpoint-Ebene detektieren konnten. Leider sind solche Schwachstellen keine Seltenheit und es gibt nicht viel, was Unternehmen tun können, um sich darauf vorzubereiten. Deshalb ist es so wichtig auf KI-Sicherheitslösungen zu setzen,“ kommentiert Matthias Canisius, Regional Director CEU bei SentinelOne. 

Schwachstelle erfordert Maßnahmen

Seit der Bekanntgabe der Schwachstelle wurde Exploit-Code gefunden. Die CISA hat erklärt, dass die Schwachstelle ein inakzeptables Risiko darstelle und sofortige und dringende Maßnahmen erfordere. Obwohl Microsoft einen ersten Patch für Zerologon veröffentlicht hat, ist dies nur der Beginn einer schrittweisen Einführung, die der Hersteller des Betriebssystems voraussichtlich mindestens bis zum ersten Quartal 2021 dauern wird. In der Zwischenzeit weist Microsofts Hinweis darauf hin, dass das aktuelle Update nur unterstützte Windows-Geräte schützt, so dass ältere Windows-Versionen und andere Geräte, die mit Domänencontrollern über das Netlogon MS-NRPC-Protokoll kommunizieren, anfällig für Übergriffe sind.

Darüber hinaus verhindert der anfängliche Patch nicht einen Angriff, der Zerologon ausnutzt. Vielmehr fügt er eine Protokollierung hinzu, um unsichere RPC zu erkennen, und eine Registrierungseinstellung, um unsichere RPC zu deaktivieren, wenn es keine Geräte gibt, die das Protokoll verwenden. Die Herausforderung für die Sicherheitsteams von Unternehmen besteht darin, dass dies zu einem Bruch von Legacy-Anwendungen führen kann, wenn es einfach nur ausgeschaltet wird. Daher sind sie selbst mit dem derzeit verfügbaren Patch immer noch anfällig, wenn ihre Organisation die Registrierungseinstellung nicht deaktivieren kann. 

Tipps zum Aufspüren und zur Abwehr von Zerologon-Missbrauch

Aus Endpunktsicht kann es schwierig sein, diesen Angriff zu erkennen, da sich der Angreifer im Wesentlichen auf eine Weise gegenüber der Domain authentifiziert, die dem Verhalten eines legitimen Benutzers/Kontos ähnelt. Darüber hinaus liegt der primäre Angriffsvektor auf der Netzwerkebene, im Gegensatz zur Interaktion mit dem Dateisystem eines Hosts. Infolgedessen ist die direkte Adressierung der Schwachstelle für viele traditionelle Endpunkt-Sicherheitslösungen „out-of-scope“.

www.sentinelone.com


Artikel zu diesem Thema

Cybercrime
Okt 21, 2020

Wie Cyberkriminelle ihre Schadsoftware noch gefährlicher machen

Mit immer clevereren Methoden versuchen Cyberkriminelle sowohl Privatnutzern als auch…
Sicherheit_Schloss
Okt 17, 2020

Zerologon und die Rolle von Monitoring im Vulnerability Management

Vulnerability Management ist eine der grundlegenden Methoden in der Cybersicherheit, um…
Schwachstelle
Okt 15, 2020

Nicht alle Schwachstellen sind eine Bedrohung

Die Computernetzwerke von Organisationen werden ständig erweitert: IT, Cloud, IoT und OT…

Weitere Artikel

Hacker

Cyberangriffe: Mehr als 220 Milliarden Euro Schaden pro Jahr

Durch Diebstahl, Spionage und Sabotage entsteht der deutschen Wirtschaft jährlich ein Gesamtschaden von 223 Milliarden Euro. Damit haben kriminelle Attacken erneut für Rekordschäden gesorgt.
Spyware

Neue Windows-Spyware verbreitet sich über Anzeigen in Suchergebnissen

Sicherheitsexperten von Bitdefender haben eine neue Form von Malware entdeckt, die Windowscomputer über Werbeanzeigen in den Suchergebnissen infiziert.
Ransomware

Ransomware: Zahl der Angriffe erneut gestiegen

Nach heftigen Angriffen zu Beginn des Jahres (Stichwort: Solar Winds) zeigt sich auch im Q2 2021 kein Abschwächen in Sachen Ransomware. Im Gegenteil: Die Bedrohungslandschaft hat sich verschärft und die Gruppen neu profiliert.
Hackerangriff

Kampf gegen Cybercrime: Stärkere Regulierung von Kryptowährungen

Aufgrund der steigenden Anzahl krimineller Aktivitäten im Cyberraum – z.B. Geldwäsche, Finanzierung von Terrorismus etc. – hat die EU-Kommission jüngst eine Reihe von Gesetzesvorschlägen herausgegeben, die Transaktionen mittels Kryptowährungen wie Bitcoin…
Hackerangriff

Chinesische Angreifer attackieren Telkos mit dem Ziel umfassender Cyberspionage

Cybereason, Unternehmen beim betriebszentrierten Schutz vor Cyberangriffen, ist es gelungen, verschiedene bislang nicht anderweitig identifizierte Cyberangriffe aufzudecken, die große Telekommunikationsanbieter in ganz Südostasien infiltrieren.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.