CISA-Warnung: Patcht eure Windows Server gegen CVE-2020-1472 (Zerologon)

[English]Die US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) hat eine Dringlichkeitsanweisung erlassen, die den US-Regierungsbehörden eine Frist von vier Tagen für die Implementierung eines Windows Server-Patches gegen die Zerologon-Schwachstelle (CVE-2020-1472) einräumt.


Anzeige

Zerologon-Schwachstelle (CVE-2020-1472)

Hintergrund für die CISA-Anweisung ist die Erkenntnis, dass die Zerologon-Schwachstelle (CVE-2020-1472) die Übernahme von Active Directory Domain Controllern (DC) ermöglicht und dass es einen öffentlich verfügbaren Exploit für die Schwachstelle gibt. CVE-2020-1472 ist eine Privilege Escalation-Schwachstelle, die aufgrund der unsicheren Verwendung der AES-CFB8-Verschlüsselung für Netlogon-Sitzungen ermöglicht wird. Ich hatte im Blog-Beitrag Windows Server: Zerologon-Sicherheitslücke (CVE-2020-1472) erlaubt Domain Übernahme über dieses Risiko berichtet. Die CISA schreibt dazu:

Die CISA hat festgestellt, dass diese Schwachstelle ein inakzeptables Risiko für die Systeme des Bundes darstellt und ein sofortiges und dringendes Handeln erfordert. Diese Feststellung stützt sich auf Folgendes:

  • die Verfügbarkeit des Exploit-Codes in freier Wildbahn, wodurch die Wahrscheinlichkeit zunimmt, dass ein ungepatchter Domain-Controller ausgenutzt wird;
  • die weit verbreitete Präsenz der betroffenen Domain-Controller in den US-Bundesbehörden;
  • das hohe Potenzial für eine Kompromittierung der Informationssysteme der Behörde;
  • die schwerwiegenden Auswirkungen eines erfolgreichen Angriffs;
  • und das fortgesetzte Vorhandensein der Schwachstelle mehr als 30 Tage seit der Veröffentlichung des Updates.

Der CISA verlangt von den Behörden die sofortige Anwendung des Sicherheitsupdates für Windows Server August 2020 auf alle Domänencontroller.

Das ist eine deutliche Anweisung, die CISA sieht also akute Gefahr, dass die System der US-Bundesbehörden angegriffen und übernommen werden. Daher sollten auch Administratoren im deutschsprachigen Raum aktiv werden, falls Domain-Controller auf Windows Server-Basis diesbezüglich noch nicht abgesichert wurden.

Microsoft-Patch seit August 2020 verfügbar

Von Microsoft wird die Schwachstelle in zwei Stufen geschlossen, wie man im Supportbeitrag KB4557222 nachlesen kann. Mit dem Sicherheits-Updates vom 11. August 2020 (siehe Linkliste am Artikelende) wurde die erste Stufe der Absicherung eingeleitet. Für die unterstützten Windows Server-Varianten ist also eine Absicherung möglich. Für Windows Server 2008 R2 gibt es den Patch aber nur für Kunden, die das Microsoft ESU-Programm kostenpflichtig erworben haben (ist ohne Volumenlizenzvertrag faktisch unmöglich). Wer keinen Patch für Windows Server 2008 R2 bekommen hat, für den verweise ich auf die alternative Lösung von 0patch (siehe 0patch fixt Zerologon (CVE-2020-1472) in Windows Server 2008 R2).

Ähnliche Artikel:
Microsoft Security Update Summary (11. August 2020)
Patchday: Windows 10-Updates (11. August 2020)
Patchday: Windows 8.1/Server 2012-Updates (11. August 2020)
Patchday: Updates für Windows 7/Server 2008 R2 (11.8.2020)
Windows Server: Zerologon-Sicherheitslücke (CVE-2020-1472) erlaubt Domain Übernahme
Gruppenrichtlinien-Problem DE/EN bei Active Directory Domain-Server
Windows 10 V1607: Update KB4571694 erzeugt ID 5827-Events und brickt MMC
Achtung: Windows Domain Controller erzeugen plötzlich EventID 5829-Warnungen (11.8.2020)
0patch fixt Zerologon (CVE-2020-1472) in Windows Server 2008 R2


Anzeige

Dieser Beitrag wurde unter Sicherheit, Windows Server abgelegt und mit Sicherheit, Windows Server verschlagwortet. Setze ein Lesezeichen auf den Permalink.

19 Antworten zu CISA-Warnung: Patcht eure Windows Server gegen CVE-2020-1472 (Zerologon)


  1. Anzeige
  2. Franzi sagt:

    Hallo, hat jemand eine Tipp für mich für das Patchen von Windows Rechner, wir verwenden aktuell nur den WSUS und der funktioniert bei home office Rechnern nicht.
    Ich hab mir vor kurzem https://www.xeox.com angesehen, dürfte ein ableger von https://www.wuinstall.com sein (das kenne ich als Kommandline Tool).

    • TAFKAegal sagt:

      s.u. Antwort leider verrutscht…

    • Sebastian sagt:

      Entweder ist ein Rechner Miglied einer Domäne, dann kann (muss aber nicht!) er seine Updates über einen WSUS beziehen.
      Oder aber er ist kein Domänenmitglied, dann fragt er ganz regulär bei Microsoft direkt nach Updates.

      Für beides braucht es außer für spezielle Anforderungen auch keine weiteren Tools.

    • 1ST1 sagt:

      WSUS funktioniert auch mit Home-Office-PCs, wenn man die in eine VPN-Infrastruktur aufnimmt. Aber bitte nicht die Windows-10-Bordeigene VPN-Lösung, die ist sicherheitstechnisch veraltet. Man kann sich mit “OpenVPN” was basteln, kostenlos, aber wenn man etwas höhere Ansprüche hat (“Clients dürfen erst rein, nachdem sie alle Updates gezogen haben!”), ist das eine fürchterliche Bastellei, bis es genau so funktioniert, was man da letztlich an Lizenzen spart, steckt man 3x mehr in Basteln rein… Es gibt aber VPN-Lösungen, die sowas von Haus aus können, mir fällt da F5, Checkpoint, Citrix, Cisco und noch ein paar weitere ein, kosten halt Geld.

      • Carsten sagt:

        Inwiefern ist das in Windows 10 enthaltene VPN sicherheitstechnisch veraltet?

      • Sebastian sagt:

        Sorry, aber das ist jetzt gleich auf mehreren Ebenen ungenau bis falsch. Wie schon geschrieben hat WSUS mit AD zu tun, nicht unmittelbar mit VPN. Selbstverständlich sollte man seine Fernverbindungen über VPN absichern, das ist der TE aber hoffentlich sowieso klar.

        “Sicherheitstechnisch veraltet” ist das PPTP-Protokoll. Der Windows-Client kann das _auch_, aber eben genauso sichere Protokolle wie L2TP oder IPSec.

        Dass es eine ab Werk schlüsselfertige Lösung für VPNs gibt, die nur voll gepatchte Endpoints ins Netz lassen, wäre mir neu (mag aber da nicht den ganzen Markt kennen).
        Nach aktuellen Wissenstand würde ich aber bezweifeln, dass der Einrichtungsaufwand für so ein Szenario mit Checkpoint etc. so dramatisch unter dem von OpenVPN liegt, dass man sich sogar mit Freuden in deren Abo-Cloud-Mietmodelle in Sachen VPN begibt. ;-)

    • Michael sagt:

      Spar dir lieber den Mehraufwand an Arbeitszeit hast du sehr viel schneller wieder monetär drin in dem du einfach Pro Lizenzen einkaufst und dann das Upgrade per Lizenzkey machst.

  3. Hansi sagt:

    Ich hoffe schwer dass 0-ptach für Win 2008 R2 Server bald liefert…

  4. Anzeige

  5. TAFKAegal sagt:

    Hallo,

    mal davon abgesehen, dass die genannte Sicherheitslücke nur Server betrifft und mir nicht klar ist warum der WSUS bei Homeoffice nicht funktionieren sollte: Wie sieht eure Umgebung denn aus und was genau wollt ihr erreichen?

  6. Basti sagt:

    Betrifft das eigentlich nur die DC welche man Patchen soll oder sind generell alle “Clients” betroffen?

    • 1ST1 sagt:

      “Alle Server”, nicht nur die DCs, sonder alle Server. Clients sind angeblich nicht beroffen, die KBs gibts aber teilweise auch für Clients. Wenn man einen WSUS hat, kann man sich ja ein entsprechendes Reporting ziehen, dann sieht man, welche Systeme noch offen sind.

      • Robert sagt:

        Das verstehe ich nicht. Warum sollen den alle Server betroffen sein, aber nicht die Clients? Ich dachte nur DCs sind betroffen, da diese ja bei der Lücke sich manipulieren lassen.

      • techee sagt:

        Es geht um die Übernahme von DCs die die Kerberos Anfragen bearbeiten. Soweit ich das richtig sehe müssen also die DCs abgesichert werden

  7. Chris sagt:

    Patch installieren ist hier ja gar nicht das Problem.

    Mit dem Patch wird nur die Sicherheitsfunktion zur Verfügung gestellt und es werden Einträge im Eventlog erzeugt die einem helfen sollen Geräte ausfindig zu machen die ein Problem mit der Erzwingung er Sicherheitseinstellung hätten.

    Der Patch selber stellt sich spätestens in Q1/2021 automatisch scharf.

    Da ich hier aber davon ausgehe das nicht nur der Patch installiert werden, sondern auch direkt aktiviert werden soll, wird es ganz schön stressig werden für die Admins. Ohne Vorlaufzeit die inkompatiblen Geräte zu ermitteln werden da sicher einige Folgeprobleme auftauchen.

    • Michael sagt:

      nach meinem Verständnis nach stimmt das so nicht.

      Step 1:
      Deploy August 11, 2020 updates

      Begin enforcing secure RPC usage for all Windows-based device accounts, trust accounts and all DCs.

      lt. dem Microsoft Support Artikel

      • Chris sagt:

        Das ist nur ein “Vorabschutz”, der richtige Schutz beginnt mit Aktivierung der Gruppenrichtlinie (entweder per Hand oder erzwungen durch MS in Q1 2021 durch ein Update)

        11. August 2020: Erstbereitstellungsphase

        Die Erstbereitstellungsphase beginnt mit den am 11. August 2020 veröffentlichten Updates und wird mit späteren Updates bis zur Erzwingungsphasefortgesetzt. Diese und spätere Updates nehmen Änderungen am Netlogon-Protokoll vor, um Windows-Geräte standardmäßig zu schützen, protokollieren Ereignisse für nicht kompatible Geräteermittlungen und fügen die Möglichkeit hinzu, den Schutz für alle in Domäne eingebundene Geräte mit expliziten Ausnahmen zu aktivieren.

        9. Februar 2021: Erzwingungsphase

        Die Version vom 9. Februar 2021 markiert den Übergang zur Erzwingungsphase. Die DCs befinden sich nun im Erzwingungsmodus unabhängig vom Registrierungsschlüssel des Erzwingungsmodus. Dies setzt voraus, dass alle Windows- und nicht-Windows-Geräte Secure RPC mit einem sicheren Netlogon-Kanal verwenden oder das Konto explizit zulassen, indem eine Ausnahme für das nicht kompatible Gerät hinzugefügt wird. 

        Quelle:
        https://support.microsoft.com/de-de/help/4557222/how-to-manage-the-changes-in-netlogon-secure-channel-connections-assoc

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.