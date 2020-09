Windows-Admins sollten zügig ihre Server aktualisieren und so vor Attacken schützen. Durch das erfolgreiche Ausnutzen der als "kritisch" eingestuften sogenannten Zerologon-Sicherheitslücke könnten Angreifer ganze Domänen mit Adminrechten übernehmen.

Die Schwachstelle (CVE-2020-1472) ist mit dem höchstmöglichen CVSS Score 10 von 10 eingestuft. Sicherheitsupdates stehen seit dem Patchday im August bereit. In einer offiziellen Warnmeldung hat Microsoft die betroffenen Windows-Server-Versionen aufgelistet.

Server absichern – jetzt!

Mitte September tauchte der erste Exploit-Code auf. Nun hat Microsoft erste Attacken beobachtet und Infos auf Twitter veröffentlicht. Sie raten Admins dazu, ihre Server sofort auf den aktuellen Stand zu bringen. In einem Support-Beitrag hat Microsoft weitere Tipps zur Absicherung zusammengetragen.

Aufgrund von Fehlern beim Einsatz der AES-CFB8-Verschlüsselung beim Netlogon-Prozess könnten entfernte Angreifer ohne Authentifizierung über das Netlogon Remote Protocol (MS-NRPC) eine Verbindung zu einem Domänencontroller aufbauen.

Damit das klappt, müssten Angreifer dem Bericht der Entdecker der Lücke von Secuva zufolge lediglich mit an bestimmten Stellen mit Nullen präparierte Netlogon-Nachrichten verschicken. So könnten beispielsweise Admin-Zugangsdaten leaken. Über ein Test-Skript können Admins ihre Doämencontroller auf Verwundbarkeit prüfen.

Samba auch betroffen

Samba ist nur für Zerologon anfällig, wenn die Server-Software als Domänencontroller (Active Directory DC, /NT4-style DC) zum Einsatz kommt.

Ist das der Fall, sollten Admins sicherstellen, dass mindestens die Ausgabe 4.8 aus März 2018 installiert sind. Diese setzt einer Warnmeldung der Samba-Entwickler zufolge standardmäßig auf einen abgesicherten Netlogon-Prozess.

Ob dieser gegen Zerologon abgesicherte Anmeldeprozess aktiv ist, erkannt man am " server schannel = yes "-Eintrag in der Kofigurationsdatei smb.conf. Steht dort aber " no " oder " auto ", ist auch Samba 4.8 für Zerologon-Attacken anfällig. Bei 4.7 und jünger ist das der Fall. Die Samba-Entwickler empfehlen, die jüngst veröffentlichten Versionen 4.10.18, 4.11.13 oder 4.12.7 zu installieren.

(des)