Zerologon Exploits werden ausgenutzt, patchen (Windows Server, Samba) ist angesagt

[English]Ich hole das Thema Zerologon-Schwachstelle nochmals hoch. Microsoft warnt, dass Angreifer die Windows Server Zerologon-Exploits aktiv für Angriffe nutzen. Windows Server-Administratoren sollten dringend die notwendigen Sicherheitsupdates installieren. Aber auch Samba-Server sind anfällig. Hier nochmals einige Informationen zum Thema.


Anzeige

Die Zerologon-Sicherheitslücke (CVE-2020-1472)

Ich hatte das Thema ja mehrfach im Blog (siehe Links am Artikelende). Die Zerologon-Sicherheitslücke (CVE-2020-1472) ist eine Privilege Escalation-Schwachstelle aufgrund der unsicheren Verwendung der AES-CFB8-Verschlüsselung für Netlogon-Sitzungen. Die Schwachstelle ermöglicht die Übernahme von Active Directory Domain Controllern (DC) – auch Remote, falls der Domain-Controller per Netzwerk/Internet erreichbar ist – durch nicht authorisierte Angreifer.

Ich hatte im Blog-Beitrag Windows Server: Zerologon-Sicherheitslücke (CVE-2020-1472) erlaubt Domain Übernahme über dieses Risiko berichtet. Zum letzten Wochenende warnte die US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) und hat eine Dringlichkeitsanweisung erlassen, die den US-Regierungsbehörden eine Frist von vier Tagen für die Implementierung eines Windows Server-Patches gegen die Zerologon-Schwachstelle (CVE-2020-1472) einräumt (siehe CISA-Warnung: Patcht eure Windows Server gegen CVE-2020-1472 (Zerologon)).

Microsoft Netlogon Tweets
(Microsoft Netlogon Tweets)

Jetzt lese ich bei Bleeping Computer, dass auch Microsoft inzwischen eine Serie an Tweets mit einer Warnung herausgegeben habe, weil Angreifer die Windows Server Zerologon-Exploits aktiv für Angriffe nutzen.

Patches für Windows Server und Samba-Server verfügbar

Microsoft schließt die Schwachstelle in zwei Stufen, wie im Supportbeitrag KB4557222 nachzulesen ist. Mit dem Sicherheits-Updates vom 11. August 2020 (siehe Linkliste am Artikelende) wurde die erste Stufe der Absicherung eingeleitet. Für die unterstützten Windows Server-Varianten ist also eine Absicherung möglich.

Für Windows Server 2008 R2 gibt es den Patch aber nur für Kunden, die das Microsoft ESU-Programm kostenpflichtig erworben haben (ist ohne Volumenlizenzvertrag faktisch unmöglich). Wer keinen Patch für Windows Server 2008 R2 bekommen hat, für den verweise ich auf die alternative Lösung von 0patch (siehe 0patch fixt Zerologon (CVE-2020-1472) in Windows Server 2008 R2).

Was ich bis vor wenigen Tagen nicht auf dem Radar hatte: Auch Samba-Server, die unter Linux laufen, sind durch die Zerologon-Schwachstelle betroffen. Das Samba-Team hat ein Sicherheitsupdate veröffentlicht, um die kritische Schwachstelle CVE-2020-1472 ab Samba 4.0 und höher zu schließen. Diese Schwachstelle könnte es einem Remote Angreifer ermöglichen, die Kontrolle über ein betroffenes System zu übernehmen. Samba 8.0 und höher besitzt diese Schwachstelle nicht, sofern die Kofigurationsdatei smb.conf nicht angepasst wurde (siehe Hinweise des Samba-Teams).

Wie eine Infektion erkennen?


Anzeige

Abschließend noch ein kurzer Hinweis für Administratoren, die vor dem Problem stehen, eine Infektion über die Zerologon-Schwachstelle detektieren zu müssen. The Hacker News geben in diesem Artikel eine kleine Hilfestellung. Der Sicherheitsanbieter Cynet erklärte nicht nur die Ursache des Problems, sondern gab auch Einzelheiten zu einigen kritischen Artefakten bekannt. Diese können zur Erkennung einer aktiven Ausnutzung der Schwachstelle verwendet werden.

Dazu gehört ein bestimmtes Speichermuster im Speicher des Prozesses lsass.exe sowie eine anormale Steigerung des Datenverkehrs zwischen lsass.exe und den Systemen des Angreifers. “Das am besten dokumentierte Artefakt ist die Windows-Ereignis-ID 4742 ‘Ein Computerkonto wurde geändert’, oft kombiniert mit der Windows-Ereignis-ID 4672 ‘Spezielle Berechtigungen für neue Anmeldung'”, schreiben die Sicherheitsleute von Cynet.

Damit Windows Server-Administratoren ähnliche Angriffe schnell erkennen können, haben die Sicherheitsexperten von Cynet für ihre eigene Software eine YARA-Regel veröffentlicht. Für die Echtzeitüberwachung haben sie zudem ein einfaches Tool, über die Datei Cynet-Zerologon-Detector.zip, zum Herunterladen zur Verfügung gestellt. Der Cynet Zerologon Detector ist eine ausführbare Anwendung, die sich per Batch-Datei installieren und wieder deinstallieren lässt. Details lassen sich in diesem Cynet-Artikel nachlesen.

Es gibt zudem das Open Source-Paket Zeek zur Erkennung der Angriffe. Inzwischen haben die Anbieter von SIEMS-Lösungen ebenfalls Vorkehrungen zur Erkennung von Zerologon-Angriffen getroffen, wie ich bei einer schnellen Internetsuche gerade feststelle.  Vielleicht hilft es weiter.

Ähnliche Artikel:
Windows Server: Zerologon-Sicherheitslücke (CVE-2020-1472) erlaubt Domain Übernahme
CISA-Warnung: Patcht eure Windows Server gegen CVE-2020-1472 (Zerologon)
0patch fixt Zerologon (CVE-2020-1472) in Windows Server 2008 R2
Achtung: Windows Domain Controller erzeugen plötzlich EventID 5829-Warnungen (11.8.2020)
Windows 10 V1607: Update KB4571694 erzeugt ID 5827-Events und brickt MMC

Microsoft Security Update Summary (11. August 2020)
Patchday: Windows 10-Updates (11. August 2020)
Patchday: Windows 8.1/Server 2012-Updates (11. August 2020)
Patchday: Updates für Windows 7/Server 2008 R2 (11.8.2020)


Anzeige

Dieser Beitrag wurde unter Linux, Sicherheit, Windows Server abgelegt und mit Linux, Sicherheit, Windows Server verschlagwortet. Setze ein Lesezeichen auf den Permalink.

9 Antworten zu Zerologon Exploits werden ausgenutzt, patchen (Windows Server, Samba) ist angesagt


  1. Anzeige
  2. Carsten sagt:

    Wer seit dem August Patch keine Probleme gefunden hat und auch das Eventlog keines der aufgelisteten IDs (siehe Microsoft Artikel https://support.microsoft.com/de-de/help/4557222/how-to-manage-the-changes-in-netlogon-secure-channel-connections-assoc#theGroupPolicy) zeigt, kann die Regel auch gleich per Registry erzwingen und nicht noch bis Februar 2021 warten. Wie im o.g. Artikel beschrieben folgenden Schlüssel auf “1” setzen(momentan noch auf “0”):

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

    FullSecureChannelProtection

    Die Option “0” wird ab Februar 2021 anscheinend nicht mehr möglich sein.

    Die Änderung muss an jedem DC geschehen.

    Gruß

  3. Max Gembe sagt:

    Hi!
    Ich muss jetzt doch mal fragen, ich check das irgendwie nicht. Habe ich den entsprechenden Fix installiert, wenn bei meinen Servern das Update KB4571694 (2020-08 CU) eingespielt ist? In den offiziellen Patchnotes steht nichts bezüglich Zerologon oder MS-NRPC und in dem verlinkten Hinweis zum Patch steht auch nichts vom dem CU.

    Danke

  4. Anzeige

  5. Robert Richter sagt:

    Betrifft das auch VPN Verbindungen (bei der Authentifizierung), oder ist dies nur innerhalb des Netzes?

  6. 1ST1 sagt:

    Dieses Tool von Cyra ist nett gemeint, aber ein fremdes, nicht verifiziertes, nicht im Quellcode einsehbares Tool auf dem DC mit Adminrechten laufen lassen? Ich glaube, es piepst!

  7. Reto sagt:

    Wir haben einige Problem mit dem Patch mit speziellen Build-Nr vom Server.

    Server 2019 1809 Build 17763.1339 -> Patch KB4565349 kann installiert werden
    Server 2019 1809 Build 17763.1457 -> Patch KB4565349 “not applicable for your system”

    Muss ich auf dem Build 17763.1457 den Patch KB4570333 einspielen um den ZEROLOGON zu patchen ?

    Das gleiche Problem haben wir mit Server 2016 -> 1607 Build 14393.3930 funktioniert auch KB4571694 nicht.

  8. Anonymous sagt:

    Die Updates sind kumulativ! Ergo beinhaltet das Patch vom 8.9 schon alle älteren Updates das sollte man aber schon wissen wenn man Server patchen darf ;)

    2019:
    KB4570333 = 17763.1457 vom 8. September (beinhaltet schon KB4565349)
    KB4565349 = 17763.1397 vom 11.August
    https://support.microsoft.com/de-de/help/4570333

    2016:
    KB4577015 = 14393.3930 vom 8. September (beinhaltet schon KB4571694)
    KB4571694 = 14393.3866 vom 11. August 2020
    https://support.microsoft.com/de-de/help/4577015

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.