Die Anordnung des US-Heimatschutzministeriums wurde über eine Dringlichkeitsanweisung erlassen, einen selten genutzten Rechtsmechanismus, über den US-Regierungsbeamte die Bundesbehörden zu verschiedenen Maßnahmen zwingen können. Das Ziel der jüngsten Notfallrichtlinie des DHS (Department of Homeland Security’s cybersecurity division) betrifft die Schwachstelle CVE-2020-1472, die auch als Zerologon bekannt ist.
Die Sicherheitslücke gilt als äußerst gefährlich, da sie es Bedrohungsakteuren, die in einem internen Netzwerk Fuß gefasst haben, ermöglicht, Windows-Domänencontroller zu kapern und damit das gesamte Netzwerk zu übernehmen.
Microsoft hatte Korrekturen für die Zerologon-Sicherheitslücke im Rahmen des Patch-Tuesday August 2020 veröffentlicht. Viele Systemadministratoren erkannten jedoch erst letzte Woche, als Sicherheitsforscher von Secura einen technischen Bericht veröffentlichten, in dem CVE-2020-1472 auf technischer Ebene erklärt wurde, wie schlimm der Fehler wirklich war.
Dieser detaillierte Bericht war mehr als ausreichend, um es den White-Hat- und Black-Hat-Hackern zu ermöglichen, Proof-of-Concept-Zerologon-Exploits zu erstellen, die innerhalb weniger Stunden nach dem Secura-Bericht an die Öffentlichkeit gelangten.
Die Erstellung dieser Exploits, sowie der weit verbreitete Einsatz von Windows-Servern als Domain-Controller in Netzwerken der US-Regierung, die 10 von 10 maximalen Schweregraden, die der Zerologon-Bug erhielt, und die „gravierenden Auswirkungen“ eines erfolgreichen Angriffs veranlassten die DHS-Beamten, am späten Freitagnachmittag eine seltene Dringlichkeitsanweisung zu erlassen.
„Die CISA [Cybersecurity and Infrastructure Security Agency] hat festgestellt, dass diese Schwachstelle ein inakzeptables Risiko für die Federal Civilian Executive Branch darstellt und eine sofortige und dringende Maßnahme erfordert“, sagte die DHS CISA in der Notfallrichtlinie 20-04.
Die CISA-Beamten des DHS geben den Systemadministratoren bis zum Ende des Tages am Montag Zeit, um alle ihre als Domänencontroller konfigurierten Windows-Server zu patchen (11:59 Uhr EDT, Montag, 21. September 2020). Windows-Server, die nicht gepatcht werden können, sollen offline genommen und aus dem Netzwerk entfernt werden, so die Anordnung des DHS.
Die kurze Frist für die Anwendung von Sicherheitsaktualisierungen ist in erster Linie auf die einfache Ausnutzung und die schwerwiegenden Folgen eines erfolgreichen Zerologon-Angriffs zurückzuführen.
Selbst wenn Zerologon nicht zu den Schwachstellen gehört, die nicht als Speerspitze eines Cyber-Angriffs genutzt werden können, um in ein Netzwerk einzubrechen, ist der Fehler eine ideale sekundäre Nutzlast in der zweiten Stufe eines Angriffs, die Hackern die volle Kontrolle über ein ganzes Netzwerk ermöglicht, wenn der Domänencontroller nicht gepatcht wurde.
Die Gigamon Visibility Platform ist der Katalysator für die schnelle und optimierte Bereitstellung des Datenverkehrs für Sicherheitstools, Netzwerkperformance- und Applikationsperformance-Monitoring. Erfahren Sie in diesem Webinar, wie Sie mit Gigamon-Lösungen die Effizienz ihrer Sicherheitsarchitektur steigern und Kosten einsparen können.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…