Security Advisory: Sicherheitslücke Zerologon (CVE-2020-1472)
Michael Schäublin, Consultant | Security Advisor
Seit über 10 Jahren beim Berner IT-Dienstleister SmartIT Services AG in verschiedenen technischen Funktionen tätig. Michael Schäublin setzt sich seit jeher intensiv mit IT-Security auseinander. Er hat als Security Advisor die fachliche Führung des Fachteams Security, erarbeitet zusammen mit dem Team Richtlinien und technische Konzepte, welche zum sicheren Betrieb von IT-Umgebungen beitragen. Zudem berät und schult er Kunden zum Thema IT-Security..
Mit den Sicherheitsupdates vom August 2020 schloss Microsoft eine Sicherheitslücke im Netlogon Remote Protocol (MS-NRPC) mit dem Namen Zerologon (CVE-2020-1472). Inzwischen wurden auf Github bereits fertig nutzbare Programme (Exploits) publiziert, mit welchen die Lücken auch für Laien ausnutzbar geworden sind. Zum Beispiel hat das Tool Mimikatz die Möglichkeit der Ausnutzung dieser Sicherheitslücke auch schon integriert.
Durch die Ausnutzung dieser Lücke kann ein Angreifer, von einem beliebigen Active-Directory Mitglied aus, die Kontrolle über das Active-Directory übernehmen.
Die Gefährdung für Unternehmensnetzwerke ist gross.
Was kann dagegen getan werden?
Die Sicherheitsupdates von Microsoft vom August 2020 oder das Monthly Rollup vom August 2020 (oder neuer) auf allen Domänen Controllern installieren.
Was gibt es weiter zu beachten?
Mit diesem Update wird die unmittelbare Gefahr gebannt. Damit Probleme mit diesem Protokoll langfristig behoben sein werden, wird Microsoft im Februar 2021 ein zweites Update nachreichen. Dieses Update wird die Nutzungsbedingungen des Protokolls für Nicht-Windows-Geräte verschärfen.
Damit inkompatible Geräte identifiziert werden können, werden diese ab dem Einspielen im Eventlog auf den Domänen-Controllern ausgewiesen. Dazu hat Microsoft ausführliche Informationen publiziert.