Security Advisory: Sicherheitslücke Zerologon (CVE-2020-1472)

Mit Zerologon kann ein Angreifer eine Active-Directory Domäne übernehmen. Microsoft hat Updates veröffentlicht.

Mit den Sicherheitsupdates vom August 2020 schloss Microsoft eine Sicherheitslücke im Netlogon Remote Protocol (MS-NRPC) mit dem Namen Zerologon (CVE-2020-1472). Inzwischen wurden auf Github bereits fertig nutzbare Programme (Exploits) publiziert, mit welchen die Lücken auch für Laien ausnutzbar geworden sind. Zum Beispiel hat das Tool Mimikatz die Möglichkeit der Ausnutzung dieser Sicherheitslücke auch schon integriert.

Durch die Ausnutzung dieser Lücke kann ein Angreifer, von einem beliebigen Active-Directory Mitglied aus, die Kontrolle über das Active-Directory übernehmen.

Die Gefährdung für Unternehmensnetzwerke ist gross.

Was kann dagegen getan werden?

Die Sicherheitsupdates von Microsoft vom August 2020 oder das Monthly Rollup vom August 2020 (oder neuer) auf allen Domänen Controllern installieren.

Was gibt es weiter zu beachten?

Mit diesem Update wird die unmittelbare Gefahr gebannt. Damit Probleme mit diesem Protokoll langfristig behoben sein werden, wird Microsoft im Februar 2021 ein zweites Update nachreichen. Dieses Update wird die Nutzungsbedingungen des Protokolls für Nicht-Windows-Geräte verschärfen.

Damit inkompatible Geräte identifiziert werden können, werden diese ab dem Einspielen im Eventlog auf den Domänen-Controllern ausgewiesen. Dazu hat Microsoft ausführliche Informationen publiziert.

 

Portrait Michael Schäublin

Autor dieses Beitrags: Michael Schäublin