Zerologon: US-Behörden sollen Patch für CVE-2020-1472 installieren

Die Anordnung des US-Heimatschutzministeriums wurde über eine Dringlichkeitsanweisung erlassen, einen selten genutzten Rechtsmechanismus, über den US-Regierungsbeamte die Bundesbehörden zu verschiedenen Maßnahmen zwingen können. Das Ziel der jüngsten Notfallrichtlinie des DHS (Department of Homeland Security’s cybersecurity division) betrifft die Schwachstelle CVE-2020-1472, die auch als Zerologon bekannt ist.

Die Sicherheitslücke gilt als äußerst gefährlich, da sie es Bedrohungsakteuren, die in einem internen Netzwerk Fuß gefasst haben, ermöglicht, Windows-Domänencontroller zu kapern und damit das gesamte Netzwerk zu übernehmen.

Microsoft hatte Korrekturen für die Zerologon-Sicherheitslücke im Rahmen des Patch-Tuesday August 2020 veröffentlicht. Viele Systemadministratoren erkannten jedoch erst letzte Woche, als Sicherheitsforscher von Secura einen technischen Bericht veröffentlichten, in dem CVE-2020-1472 auf technischer Ebene erklärt wurde, wie schlimm der Fehler wirklich war.

Dieser detaillierte Bericht war mehr als ausreichend, um es den White-Hat- und Black-Hat-Hackern zu ermöglichen, Proof-of-Concept-Zerologon-Exploits zu erstellen, die innerhalb weniger Stunden nach dem Secura-Bericht an die Öffentlichkeit gelangten.

Die Erstellung dieser Exploits, sowie der weit verbreitete Einsatz von Windows-Servern als Domain-Controller in Netzwerken der US-Regierung, die 10 von 10 maximalen Schweregraden, die der Zerologon-Bug erhielt, und die „gravierenden Auswirkungen“ eines erfolgreichen Angriffs veranlassten die DHS-Beamten, am späten Freitagnachmittag eine seltene Dringlichkeitsanweisung zu erlassen.

„Die CISA [Cybersecurity and Infrastructure Security Agency] hat festgestellt, dass diese Schwachstelle ein inakzeptables Risiko für die Federal Civilian Executive Branch darstellt und eine sofortige und dringende Maßnahme erfordert“, sagte die DHS CISA in der Notfallrichtlinie 20-04.

Die CISA-Beamten des DHS geben den Systemadministratoren bis zum Ende des Tages am Montag Zeit, um alle ihre als Domänencontroller konfigurierten Windows-Server zu patchen (11:59 Uhr EDT, Montag, 21. September 2020). Windows-Server, die nicht gepatcht werden können, sollen offline genommen und aus dem Netzwerk entfernt werden, so die Anordnung des DHS.

Die kurze Frist für die Anwendung von Sicherheitsaktualisierungen ist in erster Linie auf die einfache Ausnutzung und die schwerwiegenden Folgen eines erfolgreichen Zerologon-Angriffs zurückzuführen.

Selbst wenn Zerologon nicht zu den Schwachstellen gehört, die nicht als Speerspitze eines Cyber-Angriffs genutzt werden können, um in ein Netzwerk einzubrechen, ist der Fehler eine ideale sekundäre Nutzlast in der zweiten Stufe eines Angriffs, die Hackern die volle Kontrolle über ein ganzes Netzwerk ermöglicht, wenn der Domänencontroller nicht gepatcht wurde.