Microsoft patcht Windows Kerberos-Schwachstelle CVE-2020-16996 mit Dez. 2020-Updates

Publiziert am 10. Dezember 2020 von Günter Born

[English]Mit den Dezember 2020-Updates unternimmt Microsoft einen weiteren Versuch, die neue Kerberos-Schwachstelle CVE-2020-16996 in Active Directory Domain Controllern (DCs) mit einer gestuften Vorgehensweise zu schließen. Das geht aus einem am 8. Dezember 2020 veröffentlichten Support-Beitrag hervor.

Anzeige

Die Schwachstelle CVE-2020-16996

Die (neu entdeckte) Schwachstelle CVE-2020-16996 wirkt sich quasi auf Active Directory-Domänencontrollern (AD DC) aus, wenn geschützte Benutzer und ressourcenbasierte Delegierung (RBCD) verwendet werden. Informationen zur Schwachstelle CVE-2020-16996 sind spärlich. Die Schwachstelle im Kerberos-Authentifizierungsprozess ermöglicht Angreifern mit niedrigen Rechten einen Remote Code-Angriff auf die Netzwerkinfrastruktur der genannten Umgebungen auszuführen. Microsoft hat zwar noch keine Angriffe beobachtet, gibt die Komplexität zur Ausnutzung aber als niedrig an.

Support-Beitrag skizziert Vorgehensweise

Microsoft hat zum Patchday, 8. Dezember 2020, einen Fix für diese Schwachstelle in den Sicherheitsupdates für die diversen Windows-Versionen mit ausgerollt, ohne dies explizit anzugeben (siehe nachfolgende Links zum Patchday). Aber ein, am 8. Dezember 2020 veröffentlichter Support-Beitrag KB4577252 (Verwalten der Bereitstellung von RBCD/geschützten Benutzer Änderungen für CVE-2020-16996) geht auf das Thema ein. Dort gibt Microsoft konkret folgende Anweisungen, um die Schwachstelle zu schließen und die Active Directory DC-Umgebung abzusichern:

  • Aktualisieren Sie alle Geräte, die die Active Directory-Domänencontrollerrolle hosten, indem Sie das Windows-Update vom 8. Dezember, 2020 oder ein höheres Windows-Update installieren. Beachten Sie, dass die Sicherheitsanfälligkeit durch die Installation von Windows Update nicht vollständig verringert wird. Sie müssen Schritt 2 ausführen.
  • Aktivieren Sie den Erzwingungs-Modus auf allen Active Directory-Domänencontrollern. Ab dem Update vom 9. Februar 2021 kann der Erzwingungs-Modus auf allen Windows-Domänencontrollern aktiviert werden.

Die anfängliche Bereitstellungsphase des Patches zum Schließen der Schwachstelle CVE-2020-16996 beginnt also mit dem am 8. Dezember 2020 veröffentlichten Windows-Updates. Ab dem 9. Februar 2021 wird die sogenannte Erzwingungs-Phase durch ein weiteres Windows-Update ausgerollt. Diese und spätere Windows-Updates nehmen Änderungen an Kerberos vor.

Microsoft gibt im Support-Beitrag KB4577252 eine detaillierte Anleitung, wie Administratoren betroffener Systeme vorzugehen haben und was alles zu beachten ist. Beachtet vor allem die Hinweise auf möglicherweise auftretende Authentifizierungsprobleme, wenn Updates und Anpassungen an der Registrierung inkonsistent erfolgen. Diesen Fall hatten wir ja bereits mit den November 2020-Updates (siehe Link-Liste, z.B. Weitere Windows-Updates mit Fix für Kerberos-Authentication-Problem (19.11.2020)). (via)

Ähnliche Artikel:
Patchday: Windows 10-Updates (8. Dezember 2020)
Patchday: Updates für Windows 7/Server 2008 R2 (8.12.2020)
Patchday: Windows 8.1/Server 2012-Updates (8.12.2020)

Windows-Sonderupdates: Fix für Kerberos-Authentication-Problem
Windows Server 2012/R2: Sonderpatch für Kerberos-Authentication-Problem
Weitere Windows-Updates mit Fix für Kerberos-Authentication-Problem (19.11.2020)

Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Sicherheit, Update, Windows Server abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.