Windows Server: Zerologon-Sicherheitslücke (CVE-2020-1472) erlaubt Domain Übernahme

[English]Sicherheitsforscher haben eine Schwachstelle in allen Windows Server-Versionen aufgedeckt, die eine Domain-Übernahme mit einem einfachen Ansatz ermöglicht. Diese Zerologon genannte Sicherheitslücke (CVE-2020-1472) wurde mit den Sicherheitsupdates von August 2020 geschlossen. Wer diesen Patch noch nicht installiert hat, sollte schnellstmöglich reagieren.


Anzeige

Ich hatte es bereits gestern auf Twitter vernommen und dieser Kommentar hier im Blog weist auf das Thema hin, welches bei Golem behandelt wurde.  Es geht um die sogenannte Zerologon-Sicherheitslücke (CVE-2020-1472), die eine eine Domain-Übernahme ermöglicht. Tenable hat es hier zusammen getragen.

Zerologon-Sicherheitslücke (CVE-2020-1472)

Am 11. September veröffentlichten Forscher von Secura einen Blog-Beitrag zu der kritischen Zerologon-Schwachstelle. Der Blog-Beitrag enthält ein Whitepaper, in dem die vollständigen Auswirkungen und die Ausführung der als CVE-2020-1472 identifizierten Schwachstelle erläutert werden. Sie Schwachstelle hat die CVSSv3-Bewertung von 10,0 (Höchstpunktzahl) erhalten.

CVE-2020-1472 ist eine Privilege Escalation-Schwachstelle, die aufgrund der unsicheren Verwendung der AES-CFB8-Verschlüsselung für Netlogon-Sitzungen ermöglicht wird. Der AES-CFB8-Standard schreibt vor, dass jedes Byte Klartext, wie z.B. ein Passwort, einen randomisierten Initialisierungsvektor (IV) haben muss, damit Passwörter nicht erraten werden können. Die ComputeNetlogonCredential-Funktion in Netlogon setzt den IV auf feste 16 Bit, was bedeutet, dass ein Angreifer den entzifferten Text kontrollieren könnte.

Ein Angreifer kann diese Schwachstelle ausnutzen, um die Identität einer beliebigen Maschine in einem Netzwerk vorzutäuschen, wenn er versucht, sich gegenüber dem Domain Controller (DC) zu authentifizieren. Weitere Angriffe sind dann möglich, einschließlich der vollständigen Übernahme einer Windows-Domäne. Im Securas Whitepaper wird auch darauf hingewiesen, dass ein Angreifer in der Lage wäre, einfach das Impacket “secretsdump”-Skript auszuführen, um eine Liste von Benutzer-Hashes von einem Ziel-DC zu erhalten.

Auf GitHub hat jemand jetzt ein Proof of Concept (PoC) veröffentlicht.  heise widmet sich hier diesem Thema und Bleeping Computer hat diesen Beitrag dazu verfasst.

Patch von August 2020 gegen CVE-2020-1472

Die Zerologon-Schwachstelle wurde von Microsoft mit den Sicherheitsupdates von August 2020 gepatcht (siehe auch Linkliste am Artikelende). Einen Hinweise von Tenable auf diesen Patch findet sich in diesem Tenable-Beitrag. Administratoren sollten das betreffende Update zügig installieren. Hier im Blog hatte ich in den beiden folgenden Blog-Beiträgen auf die Implikationen im Zusammenhang mit diesem Update hingewiesen:

Achtung: Windows Domain Controller erzeugen plötzlich EventID 5829-Warnungen (11.8.2020)
Windows 10 V1607: Update KB4571694 erzeugt ID 5827-Events und brickt MMC


Anzeige

Ähnliche Artikel:
Microsoft Office Patchday (4. August 2020)
Microsoft Security Update Summary (11. August 2020)
Patchday: Windows 10-Updates (11. August 2020)
Patchday: Windows 8.1/Server 2012-Updates (11. August 2020)
Patchday: Updates für Windows 7/Server 2008 R2 (11.8.2020)
Patchday Microsoft Office Updates (11. August 2020)


Anzeige


Dieser Beitrag wurde unter Sicherheit, Update, Windows Server abgelegt und mit Sicherheit, Update, Windows Server verschlagwortet. Setze ein Lesezeichen auf den Permalink.

11 Antworten zu Windows Server: Zerologon-Sicherheitslücke (CVE-2020-1472) erlaubt Domain Übernahme


  1. Anzeige
  2. lombart-ce sagt:

    Hier
    https://winfuture.de/news,118285.html
    steht, schwierig mit dem patchen, daher zweistufig:
    A, Aug 2020 provisorisch, B, Feb. 2021 “tiefergehende Lösungen”.

  3. endlos_schleife sagt:

    vllt. kann es der ein oder andere benötigen….
    mittels eines python scripts können die systeme auf ihre verwundbarkeit getestet werden
    https://github.com/SecuraBV/CVE-2020-1472/

    mit der Buildversion 14393.3866 – Update vom 11.08.2020 – KB4571694 – sind die Systeme laut dem Script dann “safe”
    https://support.microsoft.com/de-de/help/4571694

    • techee sagt:

      heißt das, der Reg-Wert für die Erzwingung ist nicht nötig?
      Hier finde ich wiedersprüchliches im netz

      • techee sagt:

        @Günter Born: Können wir das im Blog vielleicht nochmal prominent zum Thema machen, ob die Registry Änderung nötig ist um die Umgebung schon vor dem Febr. ’21 safe zu kriegen?

  4. Anzeige

  5. endlos_schleife sagt:

    habe das selbst auf unseren beiden DC´s so durchgeführt – und auch zuvor das script auf dem DC mit der Buildversion
    14. Juli 2020 – KB4565511 (BS-Build 14393.3808) laufen lassen.
    Bei dem Juli Update waren die Systeme laut script noch verwundbar, nachdem KB4571694 installiert war, war die Scriptausgabe, dass die Systeme erfolgreich kompromittiert wurden.

    • endlos_schleife sagt:

      EDIT mein vorheriger Eintrag:
      Bei dem Juli Update waren die Systeme laut script noch verwundbar, nachdem KB4571694 installiert war, war die Scriptausgabe, dass die Systeme gegen den Angriff gepatcht sind

  6. CR sagt:

    Hallo zusammen,

    mein WSUS Server hat das Update KB4571703 angezeigt zum installieren, allerdings wurde es vom Server nicht installiert mit den anderen Updates zusammen. Jetzt zeigt mir mein WSUS das Update nicht als “Needed” an.

    Könnt ihr mir helfen?

Schreibe einen Kommentar zu endlos_schleife Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.