Jetzt patchen! Attacken auf Zerologon-Lücke in Windows Server
Microsoft warnt vor Attacken auf eine kritische Sicherheitslücke in verschiedenen Windows-Server-Versionen. Auch Samba ist betroffen.
Windows-Admins sollten zügig ihre Server aktualisieren und so vor Attacken schützen. Durch das erfolgreiche Ausnutzen der als "kritisch" eingestuften sogenannten Zerologon-Sicherheitslücke könnten Angreifer ganze Domänen mit Adminrechten übernehmen.
Die Schwachstelle (CVE-2020-1472) ist mit dem höchstmöglichen CVSS Score 10 von 10 eingestuft. Sicherheitsupdates stehen seit dem Patchday im August [1]bereit. In einer offiziellen Warnmeldung [2] hat Microsoft die betroffenen Windows-Server-Versionen aufgelistet.
Server absichern – jetzt!
Mitte September tauchte der erste Exploit-Code auf [3]. Nun hat Microsoft erste Attacken beobachtet und Infos auf Twitter veröffentlicht [4]. Sie raten Admins dazu, ihre Server sofort auf den aktuellen Stand zu bringen. In einem Support-Beitrag [5] hat Microsoft weitere Tipps zur Absicherung zusammengetragen.
Aufgrund von Fehlern beim Einsatz der AES-CFB8-Verschlüsselung beim Netlogon-Prozess könnten entfernte Angreifer ohne Authentifizierung über das Netlogon Remote Protocol (MS-NRPC) eine Verbindung zu einem Domänencontroller aufbauen.
Damit das klappt, müssten Angreifer dem Bericht der Entdecker der Lücke von Secuva zufolge [6] lediglich mit an bestimmten Stellen mit Nullen präparierte Netlogon-Nachrichten verschicken. So könnten beispielsweise Admin-Zugangsdaten leaken. Über ein Test-Skript [7] können Admins ihre Doämencontroller auf Verwundbarkeit prüfen.
Samba auch betroffen
Samba ist nur für Zerologon anfällig, wenn die Server-Software als Domänencontroller (Active Directory DC, /NT4-style DC) zum Einsatz kommt.
Ist das der Fall, sollten Admins sicherstellen, dass mindestens die Ausgabe 4.8 aus März 2018 installiert sind. Diese setzt einer Warnmeldung der Samba-Entwickler zufolge [8] standardmäßig auf einen abgesicherten Netlogon-Prozess.
Ob dieser gegen Zerologon abgesicherte Anmeldeprozess aktiv ist, erkannt man am "server schannel = yes"-Eintrag in der Kofigurationsdatei smb.conf. Steht dort aber "no" oder "auto", ist auch Samba 4.8 für Zerologon-Attacken anfällig. Bei 4.7 und jünger ist das der Fall. Die Samba-Entwickler empfehlen, die jüngst veröffentlichten Versionen 4.10.18, 4.11.13 oder 4.12.7 zu installieren.
(des [9])
URL dieses Artikels:
https://www.heise.de/-4910854
Links in diesem Artikel:
[1] https://www.heise.de/news/Patchday-Microsoft-schliesst-aktiv-ausgenutzte-Windows-und-Browser-Luecken-4868224.html
[2] https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1472
[3] https://www.heise.de/news/Update-seit-August-verfuegbar-Forscher-coden-Exploits-fuer-Windows-Server-Luecke-4901971.html
[4] https://twitter.com/MsftSecIntel/status/1308941504707063808
[5] https://support.microsoft.com/en-us/help/4557222/how-to-manage-the-changes-in-netlogon-secure-channel-connections-assoc
[6] https://www.secura.com/pathtoimg.php?id=2055
[7] https://github.com/SecuraBV/CVE-2020-1472
[8] https://www.samba.org/samba/security/CVE-2020-1472.html
[9] mailto:des@heise.de
Copyright © 2020 Heise Medien