Jetzt patchen! Attacken auf Zerologon-Lücke in Windows Server
Microsoft warnt vor Attacken auf eine kritische Sicherheitslücke in verschiedenen Windows-Server-Versionen. Auch Samba ist betroffen.
Windows-Admins sollten zügig ihre Server aktualisieren und so vor Attacken schützen. Durch das erfolgreiche Ausnutzen der als "kritisch" eingestuften sogenannten Zerologon-Sicherheitslücke könnten Angreifer ganze Domänen mit Adminrechten übernehmen.
Die Schwachstelle (CVE-2020-1472) ist mit dem höchstmöglichen CVSS Score 10 von 10 eingestuft. Sicherheitsupdates stehen seit dem Patchday im August bereit. In einer offiziellen Warnmeldung hat Microsoft die betroffenen Windows-Server-Versionen aufgelistet.
Server absichern – jetzt!
Mitte September tauchte der erste Exploit-Code auf. Nun hat Microsoft erste Attacken beobachtet und Infos auf Twitter veröffentlicht. Sie raten Admins dazu, ihre Server sofort auf den aktuellen Stand zu bringen. In einem Support-Beitrag hat Microsoft weitere Tipps zur Absicherung zusammengetragen.
Aufgrund von Fehlern beim Einsatz der AES-CFB8-Verschlüsselung beim Netlogon-Prozess könnten entfernte Angreifer ohne Authentifizierung über das Netlogon Remote Protocol (MS-NRPC) eine Verbindung zu einem Domänencontroller aufbauen.
Videos by heise
Damit das klappt, müssten Angreifer dem Bericht der Entdecker der Lücke von Secuva zufolge lediglich mit an bestimmten Stellen mit Nullen präparierte Netlogon-Nachrichten verschicken. So könnten beispielsweise Admin-Zugangsdaten leaken. Über ein Test-Skript können Admins ihre Doämencontroller auf Verwundbarkeit prüfen.
Samba auch betroffen
Samba ist nur für Zerologon anfällig, wenn die Server-Software als Domänencontroller (Active Directory DC, /NT4-style DC) zum Einsatz kommt.
Ist das der Fall, sollten Admins sicherstellen, dass mindestens die Ausgabe 4.8 aus März 2018 installiert sind. Diese setzt einer Warnmeldung der Samba-Entwickler zufolge standardmäßig auf einen abgesicherten Netlogon-Prozess.
Ob dieser gegen Zerologon abgesicherte Anmeldeprozess aktiv ist, erkannt man am "server schannel = yes"-Eintrag in der Kofigurationsdatei smb.conf. Steht dort aber "no" oder "auto", ist auch Samba 4.8 für Zerologon-Attacken anfällig. Bei 4.7 und jünger ist das der Fall. Die Samba-Entwickler empfehlen, die jüngst veröffentlichten Versionen 4.10.18, 4.11.13 oder 4.12.7 zu installieren.
(des)
