Microsoft warnt erneut vor Angriffen auf Zerologon-Lücke

Microsoft hat über das Microsoft Security Response Center eine weitere Warnung vor Angriffen auf das Windowsprotokoll Netlogon ausgegeben. Die auch als Zerologon bekannte Schwachstelle erlaubt es, die Anmeldedaten für eine Domain zu stehlen und somit die vollständige Kontrolle über die Domain zu übernehmen.

„Microsoft hat eine kleine Anzahl von Berichten von Kunden und anderen Personen über fortgesetzte Aktivitäten erhalten, die eine Schwachstelle im Netlogon-Protokoll (CVE-2020-1472) ausnutzen, die zuvor in Sicherheitsupdates ab dem 11. August 2020 behoben wurde“, schreibt Aanchal Gupta, Vice President Engineering des Microsoft Security Response Center.

Betroffen sind alle Versionen von Microsofts Server-Betriebssystem, angefangen bei Windows Server 2008 R2 bis hin zu Windows Server 2019 und Windows Server Version 2004. Gupta fordert Administratoren dieser Systeme auf, den am 11. August veröffentlichten Patch umgehend zu installieren. „Die Bereitstellung des Sicherheitsupdates vom 11. August 2020 oder einer späteren Version für jeden Domänencontroller ist der kritischste erste Schritt zur Behebung dieser Schwachstelle.“

Darüber hinaus sollten die anfälligen Systeme anhand ihrer Event Logs auf möglicherweise verdächtige Verbindungen überwacht werden. Dort lassen sich laut Microsoft auch Verbindungsanfragen von nicht regelkonformen Geräten aufspüren. Details dazu hält Microsoft in einem aktualisierten Support-Artikel bereit.

Darin weist das Unternehmen auch erneut darauf hin, dass im Februar 2021 ein weiteres Update für die Netlogon-Lücke folgt. Es wird den sogenannten Enforcement Mode, der die Sicherheitslücke schließt, standardmäßig auf allen Windows-Domänencontrollern aktivieren und alle verdächtigen Verbindungen von nicht regelkonformen Geräten blockieren. Auch soll es ab dann nicht mehr möglich sein, den Enforcement-Modus abzuschalten.

Hacker setzen die Schwachstelle derzeit unter anderem für Angriffe auf Regierungsnetzwerke ein. Mitte Oktober wiesen bereits das FBI und die US-Cybersicherheitsbehörde CISA auf das Problem hin. Hacker kombinieren demnach die Netlogon-Lücke mit einer Schwachstelle in einer VPN-Lösung von Fortinet, um in Netzwerke einzudringen.

Microsoft meldete bereits Ende September aktive Attacken auf Zerologon. Sicherheitsexperten hatten allerdings mit dieser Entwicklung gerechnet, das mehr Beispielcode für einen Exploit veröffentlicht wurde. Der niederländische Anbieter Secura BC sah seine Einschätzung bestätigt, wonach Zerologon ohne großen Aufwand auch von wenig erfahrenen Cyberkriminellen ausgenutzt werden kann.

Im August hatte Microsoft die Anfälligkeit für alle betroffenen Betriebssysteme als kritisch eingestuft. Eine Ausnutzung für Angriffe hielt das Unternehmen zu dem Zeitpunkt jedoch für „wenig wahrscheinlich“.

WEBINAR

Beim Endpunkt-Schutz zählt jede Sekunde: Warum die Entschärfung in Echtzeit entscheidend ist

Carsten Maceus, Systems Engineer bei Fortinet, erläutert in diesem Webinar, wie eine moderne IT-Sicherheitsarchitektur in Unternehmen aussehen sollte. Er illustriert dies am Beispiel eines Fußballstadions wo Bengalos, Flitzer, Ordner und Zuschauer agieren. Spannend.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

2 Stunden ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

3 Stunden ago

Lags beim Online-Gaming? DSL-Vergleich und andere Tipps schaffen Abhilfe

Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…

3 Stunden ago

GenKI-Fortbildung immer noch Mangelware

Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…

3 Stunden ago

Netzwerk-Portfolio für das KI-Zeitalter

Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…

6 Stunden ago

Internet-Tempo in Deutschland: Viel Luft nach oben

Höchste Zeit für eine schnelle Kupfer-Glas-Migration. Bis 2030 soll in Deutschland Glasfaser flächendeckend ausgerollt sein.

6 Stunden ago