[English]Microsoft hat seine Handlungsempfehlungen im Hinblick auf das Schließen der Netlogon-Schwachstelle in Windows Server-Installationen, die als Domain Controller fungieren, überarbeitet und präzisiert. Damit reagiert man auf Rückmeldungen von Nutzern, die durch die bisherigen Supportbeiträge verwirrt waren.
Anzeige
Die Schwachstelle, die Updates und Unsicherheiten
Über die Netlogon-Schwachstelle in Windows Server hatte ich mehrfach im Blog berichtet (siehe Links am Artikelende). Bei der Zerologon-Sicherheitslücke (CVE-2020-1472) handelt es sich um eine Privilege Escalation-Schwachstelle aufgrund der unsicheren Verwendung der AES-CFB8-Verschlüsselung für Netlogon-Sitzungen. Die Schwachstelle ermöglicht die Übernahme von Active Directory Domain Controllern (DC) – auch Remote, falls der Domain-Controller per Netzwerk/Internet erreichbar ist – durch nicht autorisierte Angreifer.
Ich hatte im Blog-Beitrag Windows Server: Zerologon-Sicherheitslücke (CVE-2020-1472) erlaubt Domain Übernahme über dieses Risiko berichtet. Microsoft hatte zum 11. August 2020 Sicherheitsupdates zum Abschwächen der Sicherheitslücke veröffentlich. Da die Schwachstelle angegriffen wird, forderte Microsoft zum Patchen auf (siehe Zerologon Exploits werden ausgenutzt, patchen (Windows Server, Samba) ist angesagt).
Von Microsoft wird die Schwachstelle in zwei Stufen geschlossen, wie man im Supportbeitrag KB4557222 nachlesen kann. Mit dem Sicherheits-Updates vom 11. August 2020 (siehe Linkliste am Artikelende) wurde die erste Stufe der Absicherung eingeleitet. Im Februar 2021 wird die zweite Stufe zum Schließen der Schwachstelle bereitgestellt.
Microsoft präzisiert die Vorgehensweise zur Absicherung
Der Supportbeitrag KB4557222 hat aber nicht nur hier im Blog Fragen provoziert. Microsoft hat wohl viele Rückfragen verunsicherter Kunden erhalten und musste reagieren. Den Kollegen von Bleeping Computer ist aufgefallen, dass Microsoft in der englischsprachigen Fassung des Supportbeitrags KB4557222 die nachfolgende Präzisierung zur Vorgehensweise nachgetragen hat.
Take Action
To protect your environment and prevent outages, you must do the following:
- UPDATE your Domain Controllers with an update released August 11, 2020 or later.
- FIND which devices are making vulnerable connections by monitoring event logs.
- ADDRESS non-compliant devices making vulnerable connections.
- ENABLE enforcement mode to address CVE-2020-1472 in your environment.
Note Step 1 of installing updates released August 11, 2020 or later will address security issue in CVE-2020-1472 for Active Directory domains and trusts, as well as Windows devices. To fully mitigate the security issue for third-party devices, you will need to complete all the steps.
Warning Starting February 2021, enforcement mode will be enabled on all Windows Domain Controllers and will block vulnerable connections from non-compliant devices. At that time, you will not be able to disable enforcement mode.
In Kurzform: Zur Absicherung reicht es, vorerst die Sicherheitsupdates vom 11. August 2020 und nachfolgende Patches zu installieren. Anschließend sollten Administratoren prüfen, welches Geräte noch eine unsichere Kommunikation mit dem Domain Controller versuchen und diese Geräte für eine sichere Kommunikation nachrüsten. Erst danach könnte die endgültige Absicherung durch Setzen eines im Supportbeitrags aufgeführten Registrierungseintrags erfolgen. Dies wird von Microsoft spätestens im Februar 2021 durch ein Sicherheitsupdate erzwungen.
Ähnliche Artikel:
Windows Server: Zerologon-Sicherheitslücke (CVE-2020-1472) erlaubt Domain Übernahme
CISA-Warnung: Patcht eure Windows Server gegen CVE-2020-1472 (Zerologon)
0patch fixt Zerologon (CVE-2020-1472) in Windows Server 2008 R2
Achtung: Windows Domain Controller erzeugen plötzlich EventID 5829-Warnungen (11.8.2020)
Windows 10 V1607: Update KB4571694 erzeugt ID 5827-Events und brickt MMC
Microsoft Security Update Summary (11. August 2020)
Patchday: Windows 10-Updates (11. August 2020)
Patchday: Windows 8.1/Server 2012-Updates (11. August 2020)
Patchday: Updates für Windows 7/Server 2008 R2 (11.8.2020)
Zerologon Exploits werden ausgenutzt, patchen (Windows Server, Samba) ist angesagt
2015
Interessant ist, dass das BSI anscheinend auch bei normalen Servern warnt. Ich dachte, es wären nur Domain Controller betroffen…
https://www.bsi.bund.de/DE/Presse/Kurzmeldungen/Meldungen/Zerologon_200924.html
"…von einem beliebigen AD-integrierten Rechner das Passwort eines Windows Servers, insbesondere des Domänencontrollers, ändern oder entsprechende Prozessaufrufe absetzen."
@Robert: Ich habe den Kommentar aus dem Papierkorb gefischt – bin nicht sicher, ob bewusst von dir gelöscht oder von meiner SPAM-KI da hineinbefördert (die KI spricht nicht mit mir). Falls gewünscht, kann ich den Kommentar löschen.
Zum Thema an sich: Das Prozedere nennt sich Responsible Disclosure (Verantwortungsvolle Offenlegung). Ohne jetzt mit dem Finger drohen zu wollen:
– Die Patches gab es am 2. Dienstag im August – die betreffenden KB-Artikel hatte ich hier im Blog sogar thematisiert (obwohl mir die gesamte Brisanz nicht bewusst war – aber ich administriere auch nicht, brauche das also nicht zu erkennen).
– Der Umstand, dass dann niemand drüber schreibt und kein PoC öffentlich verfügbar ist, heißt ja nicht, dass wir damit sicherer werden. Geh mal davon aus, dass die bösen Buben (da sitzen schon clevere Kerlchen) schon genauer schauen, was Microsoft patcht und dann sehr fix damit experimentieren, wie man das ausnutzen kann. Bei der BlueKeep-Schwachstelle konnte man das sehr gut verfolgen.
Durch den Umstand, dass Sicherheitsforscher da nach Verfügbarkeit eines Patches in gewissem zeitlichen Abstand einen PoC veröffentlichen, gibt Red-Teams die Möglichkeit, mit so etwas Penetrationstests durchzuführen. Und für den Rest der Admins wird ein gewisser Leidensdruck aufgebaut, zu handeln.
Am Ende des Tages hat doch die Geschichte dazu geführt, dass sich Admins mit dem Zeugs auseinander setzen mussten und das auch konnten – und nach den vielen Nachfragen hat Microsoft sich sogar nochmals bewegen und das oben thematisierte nachschieben müssen.
Ist mir lieber, als in drei oder vier Wochen hier 'Ransomware-Infektion bei Firma xyz, Domain Controller über Zerologon-Lücke übernommen' im Blog titeln zu müssen, weil das Thema von keinem aus der Zielgruppe wahrgenommen wurde. Und dann dem Katzenjammer zuzusehen 'Hätten wir das doch nur gewusst …' – ich erinnere an die Citrix ADC Schwachstelle von Dez. 2019 (gab es 2 Tage später hier im Blog, aber keiner hat es gemerkt – der Beitrag wurde erst Ende Januar 2020 abgerufen, als schon erste Angriffe liefen – und die neuesten Ransomware-Fälle, z.B. UKD, werden auf Backdoors im Citrix VPN, die über die gleiche Schwachstelle eingeführt wurden, zurückgeführt).
Ist aber nur die Sichtweise eines Bloggers, der über allem schwebt und zur Not 'wat interessiert mich mein Geschwätz von gestern' schreiben kann ;-).
@Günter: "Ich habe den Kommentar aus dem Papierkorb gefischt"
Ja, da hatte ich ihn auch hingelegt ;-) …, nachdem ich beim Korrektur-Lesen es mir eigentlich nochmal überlegt hatte und dies dann doch nicht absenden wollte. Normalerweise sieht man ja, dass ich hier einfach nur meinen Frust loswerden wollte und dann hatte ich ihn in den Papierkorb geworfen, weil IMHO zu emotional und verärgert das Ganze geschrieben war. Aber jetzt -war überrascht, dass Du ihn aus den Papierkorb gezogen und online gestellt hast- ist es interessant, Deine Zeilen dazu zu lesen.
das ist ja alles gut und schön was microsoft da so praktiziert. wir haben alle patches drinnen. haben noch den ein oder anderen altserver der bei ms nicht mehr supported wird. und am dc erscheinen grad mal warnings von 2 emc storage kisten die cifs anbieten. kann man das wirklich glauben?
Also, ich habe auch gedacht (bin ja schon in Phase 2 – enforcement mode, den MS ja erst nächstes Jahr scharf machen will), dass gleich die Beschwerden einschlagen, dass xyz-Device oder sonst was nicht mehr geht.
Nach über 24h im Enforcement-Mode gab es -bis jetzt- keine Beanstandung.