Sicherheit

Zerologen: Schwachstelle in Windows Server!

Patch dringend einspielen

In der Microsoft Windows Netlogon Remote Protocol (MS-NRPC) Implementierung des Windows Servers besteht eine kritische Schwachstelle (CVE-2020-1472), die unter dem Namen „Zerologon“ bekannt wurde. Das BSI rät Anwendern dringend dazu, die von Microsoft bereitgestellten Sicherheitsupdates auf allen als Domänencontroller eingesetzten Windows Servern schnellstmöglich zu installieren und neue Server nicht ohne die Sicherheitsupdates in Betrieb zu nehmen. Die Sicherheitsupdates stehen hier zur Verfügung: https://portal.msrc.microsoft.com

Die Dringlichkeit besteht, weil bereits Exploit-Code öffentlich verfügbar ist, der vergleichsweise einfach anzuwenden ist. Die Schadenswirkung im Falle eines erfolgreichen Angriffs ist hoch.

Durch Ausnutzung der Schwachstelle können Angreifer aufgrund eines Fehlers des im MS-NRPC verwendeten Authentisierungsprotokolls von einem beliebigen AD-integrierten Rechner das Passwort eines Windows Servers, insbesondere des Domänencontrollers, ändern oder entsprechende Prozessaufrufe absetzen. Dies ermöglicht zum Beispiel eine Kompromittierung des Identitätsdienstes.
Quelle: Bundesamt für Sicherheit in der Informationstechnik

Wer ist angreifbar?
CVE-2020-1472 stellt ein Risiko für Unternehmen dar, deren Netzwerke auf Windows Server-Domänencontrollern basieren. So können Cyberkriminelle einen Domänencontroller übernehmen, der auf einer beliebigen Version von Windows Server 2019 oder Windows Server 2016 sowie einer beliebigen Edition von Windows Server Version 1909, Windows Server Version 1903, Windows Server Version 1809 (Datacenter- und Standard-Editionen), Windows Server 2012 R2, Windows Server 2012 oder Windows Server 2008 R2 Service Pack 1 basiert. Um angreifen zu können, müssten Cyberkriminelle zunächst in das Unternehmensnetzwerk eindringen, aber das ist keine große Hürde.
Quelle: https://www.kaspersky.de

Folgende Gefahr droht im Falle eines Hacker-Angriffs:
Im Wesentlichen ist CVE-2020-1472 das Ergebnis eines Fehlers im kryptographischen Authentifizierungsverfahren des Netlogon Remote Protocol. Das Protokoll authentifiziert Benutzer und Rechner in domänenbasierten Netzwerken und wird auch zur Fern-Aktualisierung von Computer-Passwörtern verwendet. Durch die Schwachstelle kann sich ein Angreifer als Client-Computer ausgeben und das Kennwort eines Domänencontrollers (ein Server, der ein ganzes Netzwerk steuert und Active Directory-Dienste ausführt) ersetzen, wodurch der Angreifer Domänenverwaltungsrechte erlangen kann.
Quelle: https://www.kaspersky.de