Die Anordnung des US-Heimatschutzministeriums wurde über eine Dringlichkeitsanweisung erlassen, einen selten genutzten Rechtsmechanismus, über den US-Regierungsbeamte die Bundesbehörden zu verschiedenen Maßnahmen zwingen können. Das Ziel der jüngsten Notfallrichtlinie des DHS (Department of Homeland Security’s cybersecurity division) betrifft die Schwachstelle CVE-2020-1472, die auch als Zerologon bekannt ist.
Die Sicherheitslücke gilt als äußerst gefährlich, da sie es Bedrohungsakteuren, die in einem internen Netzwerk Fuß gefasst haben, ermöglicht, Windows-Domänencontroller zu kapern und damit das gesamte Netzwerk zu übernehmen.
Microsoft hatte Korrekturen für die Zerologon-Sicherheitslücke im Rahmen des Patch-Tuesday August 2020 veröffentlicht. Viele Systemadministratoren erkannten jedoch erst letzte Woche, als Sicherheitsforscher von Secura einen technischen Bericht veröffentlichten, in dem CVE-2020-1472 auf technischer Ebene erklärt wurde, wie schlimm der Fehler wirklich war.
Dieser detaillierte Bericht war mehr als ausreichend, um es den White-Hat- und Black-Hat-Hackern zu ermöglichen, Proof-of-Concept-Zerologon-Exploits zu erstellen, die innerhalb weniger Stunden nach dem Secura-Bericht an die Öffentlichkeit gelangten.
Die Erstellung dieser Exploits, sowie der weit verbreitete Einsatz von Windows-Servern als Domain-Controller in Netzwerken der US-Regierung, die 10 von 10 maximalen Schweregraden, die der Zerologon-Bug erhielt, und die „gravierenden Auswirkungen“ eines erfolgreichen Angriffs veranlassten die DHS-Beamten, am späten Freitagnachmittag eine seltene Dringlichkeitsanweisung zu erlassen.
„Die CISA [Cybersecurity and Infrastructure Security Agency] hat festgestellt, dass diese Schwachstelle ein inakzeptables Risiko für die Federal Civilian Executive Branch darstellt und eine sofortige und dringende Maßnahme erfordert“, sagte die DHS CISA in der Notfallrichtlinie 20-04.
Die CISA-Beamten des DHS geben den Systemadministratoren bis zum Ende des Tages am Montag Zeit, um alle ihre als Domänencontroller konfigurierten Windows-Server zu patchen (11:59 Uhr EDT, Montag, 21. September 2020). Windows-Server, die nicht gepatcht werden können, sollen offline genommen und aus dem Netzwerk entfernt werden, so die Anordnung des DHS.
Die kurze Frist für die Anwendung von Sicherheitsaktualisierungen ist in erster Linie auf die einfache Ausnutzung und die schwerwiegenden Folgen eines erfolgreichen Zerologon-Angriffs zurückzuführen.
Selbst wenn Zerologon nicht zu den Schwachstellen gehört, die nicht als Speerspitze eines Cyber-Angriffs genutzt werden können, um in ein Netzwerk einzubrechen, ist der Fehler eine ideale sekundäre Nutzlast in der zweiten Stufe eines Angriffs, die Hackern die volle Kontrolle über ein ganzes Netzwerk ermöglicht, wenn der Domänencontroller nicht gepatcht wurde.
Weitere Informationen
Netzwerksicherheit und Netzwerkmonitoring in der neuen Normalität
Die Gigamon Visibility Platform ist der Katalysator für die schnelle und optimierte Bereitstellung des Datenverkehrs für Sicherheitstools, Netzwerkperformance- und Applikationsperformance-Monitoring. Erfahren Sie in diesem Webinar, wie Sie mit Gigamon-Lösungen die Effizienz ihrer Sicherheitsarchitektur steigern und Kosten einsparen können.
Neueste Kommentare
1 Kommentar zu Zerologon: US-Behörden sollen Patch für CVE-2020-1472 installieren
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
Wichtiger Hinweis eines Users (Ehre wem Ehre gebührt) aus einem anderen Forum
„Achtung: Patch allein reicht nicht, EnformentMode auch aktivieren!
Man sollte nach Möglichkeit dann auch EnforcementMode aktivieren, sonst ist man erst ab Februar 2021 gegen die Lücke wirklich geschützt.
Siehe auch:
Keine Ahnung warum dieses „Detail“ so selten erwähnt wird.“