Update seit August verfügbar: Forscher coden Exploits für Windows Server-Lücke
Die mit dem CVSS-Score 10 bewertete Lücke CVE-2020-1472 in Windows Server kann mittels "Zerologon" ausgenutzt werden. Nutzer sollten jetzt updaten.
(Bild: Radu Bercan/Shutterstock.com)
Zum vorletzten Patch Tuesday im August 2020 hatte Microsoft unter anderem die als kritisch eingestufte Sicherheitslücke CVE-2020-1472 (CVSS-Höchstwertung 10.0) in mehreren Windows Server-Versionen geschlossen.
Jetzt haben Forscher funktionierenden Exploit-Code für CVE-2020-1472 entwickelt. Mit ihm könnte sich ein Angreifer, der sich im lokalen (Unternehmens-)Netzwerk befindet, als Domänen-Administrator anmelden – und zwar komplett ohne vorherige Kenntnis gültiger Zugangsdaten. Admins, die die Updates von August noch nicht eingespielt haben, sollten dies schleunigst nachholen.
Eine Liste der betroffenen Windows Server-Versionen sowie Links zu den Aktualisierungen sind Microsofts Security Advisory zu entnehmen. Überdies hat Microsoft zum Patchday ein Dokument mit weiteren Informationen zum Update veröffentlicht, da dieses in eine "Erstbereitstellungs-" und eine "Erzwingungsphase" unterteilt wurde. Bei frühzeitigem Einspielen müssen möglicherweise zusätzliche Registry-Anpassungen vorgenommen werden.
- CVE-2020-1472 | Netlogon Elevation of Privilege Vulnerability
- Weitere Informationen zum Updatevorgang
Exploit-Code öffentlich verfügbar
Technische Details verrät ein Blogeintrag des Unternehmens Secura, das CVE-2020-1472 entdeckt hat. Demnach basiert die Lücke auf einem kryptografischen Implementierungsfehler im Netlogon Remote Protocol (MS-NRPC). Ein Angreifer könnte ihn ausnutzen, um im Anschluss an einen Verbindungsaufbau das Passwort des entfernten, verwundbaren Domänencontrollers beliebig zu ändern.
Secura hat ein ausführliches Whitepaper zum "Zerologon"-Exploit veröffentlicht – außerdem ein Zerologon Testing Script, mit dem Domänencontroller auf ihre Verwundbarkeit getestet werden können. Auf die Veröffentlichung von Proof-of-Concept-Code hat Secura bewusst verzichtet. Allerdings haben sich auf Basis der Vorarbeit von Secura mehrere andere Forscher und Firmen in den letzten Stunden dieser Aufgabe gewidmet und ihren Code bei GitHub veröffentlicht. Somit hätten potenzielle Angreifer ausreichend vorgefertigtes Werkzeug zur Hand.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier eine externe Umfrage (Opinary GmbH) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Opinary GmbH) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
(ovw)
