Unbemerkt von vielen hat Microsoft im August letzten Monats einen der schwerwiegendsten Fehler behoben, der dem Unternehmen jemals gemeldet wurde. Dieses Problem könnte dazu missbraucht werden, Windows-Server, die als Domänencontroller in Unternehmensnetzwerken laufen, einfach zu übernehmen.
Der Fehler wurde im August 2020 Patch Tuesday unter der Kennung CVE-2020-1472 gepatcht. Er wurde als eine Erhöhung der Privilegien in Netlogon beschrieben, dem Protokoll, das Benutzer gegenüber Domänencontrollern authentifiziert.
Die Schwachstelle erhielt die maximale Schweregradbewertung von 10, aber Details wurden nie veröffentlicht, was bedeutet, dass Benutzer und IT-Administratoren nie wussten, wie gefährlich das Problem wirklich war.
In einem heutigen Blog-Beitrag und einem Whitepaper hat das Team von Secura B.V., einer niederländischen Sicherheitsfirma, endlich den Schleier über diesen mysteriösen Fehler gelüftet und einen technischen Bericht veröffentlicht, in dem CVE-2020-1472 ausführlicher beschrieben wird. Und laut diesem Bericht ist der Fehler wirklich seines 10/10 CVSSv3-Schweregrads würdig.
Den Secura-Experten zufolge nutzt der Fehler, den sie Zerologon nannten, einen schwachen kryptographischen Algorithmus aus, der im Netlogon-Authentifizierungsverfahren verwendet wird.
Dieser Fehler ermöglicht es einem Angreifer, die Netlogon-Authentifizierungsverfahren zu manipulieren und sich als die Identität eines beliebigen Computers in einem Netzwerk auszugeben, wenn er versucht, sich gegenüber dem Domänencontroller zu authentifizieren
Durch Deaktivieren von Sicherheitsfunktionen im Netlogon-Authentifizierungsprozess können Hacker das Kennwort eines Computers im Active Directory des Domänencontrollers ändern (eine Datenbank mit allen Computern, die einer Domäne angeschlossen sind, und ihren Kennwörtern).
Der Kerngedanke und der Grund, warum der Fehler Zerologon genannt wurde, besteht darin, dass der Angriff durch Hinzufügen von Null Zeichen in bestimmten Netlogon-Authentifizierungsparametern erfolgt.
Der gesamte Angriff ist sehr schnell und kann bis zu maximal drei Sekunden dauern. Darüber hinaus gibt es keine Grenzen, wie ein Angreifer den Zerologon-Angriff einsetzen kann. Der Angreifer könnte sich zum Beispiel auch selbst als Domänencontroller ausgeben und sein Passwort ändern, so dass der Hacker das gesamte Unternehmensnetzwerk übernehmen kann.
Es gibt Einschränkungen, wie ein Zerologon-Angriff eingesetzt werden kann. Zunächst einmal kann er nicht verwendet werden, um Windows-Server von außerhalb des Netzwerks zu übernehmen. Ein Angreifer benötigt zunächst einen Fuß in der Tür innerhalb eines Netzwerks. Wenn diese Bedingung jedoch erfüllt ist, ist es für das angegriffene Unternehmen buchstäblich ein Game over.
„Dieser Angriff hat enorme Auswirkungen“, sagte das Secura-Team. „Im Grunde erlaubt er es jedem Angreifer im lokalen Netzwerk (wie einem böswilligen Insider oder jemandem, der einfach ein Gerät an einen lokalen Netzwerkanschluss angeschlossen hat), die Windows-Domäne vollständig zu kompromittieren.“
Darüber hinaus ist dieser Fehler auch ein Vorteil für Malware- und Ransomware-Gangs, die oft darauf angewiesen sind, einen Computer innerhalb eines Firmennetzwerks zu infizieren und sich dann auf mehrere andere auszubreiten. Mit Zerologon wurde diese Aufgabe erheblich vereinfacht.
Aber das Patchen von Zerologon war keine leichte Aufgabe für Microsoft, da das Unternehmen die Art und Weise ändern musste, wie Milliarden von Geräten mit Unternehmensnetzwerken verbunden werden, wodurch die Betriebsabläufe zahlloser Unternehmen effektiv gestört wurden.
Dieser Patching-Prozess ist in zwei Phasen geplant. Die erste fand letzten Monat statt, als Microsoft ein temporäres Update für den Zerologon-Angriff veröffentlichte. Dieser temporäre Patch machte die Sicherheitsfunktionen von Netlogon (die Zerologon deaktiviert hatte) für alle Netlogon-Authentifizierungen obligatorisch, wodurch Zerologon-Angriffe effektiv geblockt wurden.
Nichtsdestotrotz ist ein vollständigerer Patch für Februar 2021 geplant, nur für den Fall, dass Angreifer einen Weg um die Patches vom August herum finden. Leider geht Microsoft davon aus, dass dieser spätere Patch am Ende die Authentifizierung auf einigen Geräten unterbrechen wird. Einzelheiten zu diesem zweiten Patch sind jedoch noch nicht veröffentlicht.
Angriffe mit Zerologon sind eine Selbstverständlichkeit, vor allem wegen der Schwere des Fehlers, der großen Auswirkung und der Vorteile für Angreifer. Secura hat keinen Proof-of-Concept-Code für einen bewaffneten Zerologon-Angriff veröffentlicht, aber das Unternehmen geht davon aus, dass dieser nach der heutigen Verbreitung seines Berichts im Internet irgendwann auftauchen wird.
In der Zwischenzeit hat das Unternehmen stattdessen ein Python-Skript veröffentlicht, ein Skript, das Administratoren mitteilen kann, ob ihr Domain-Controller korrekt gepatcht wurde.
In diesem Webinar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…