Alert!

Jetzt patchen! Attacken auf Zerologon-Lücke in Windows Server

Microsoft warnt vor Attacken auf eine kritische Sicherheitslücke in verschiedenen Windows-Server-Versionen. Auch Samba ist betroffen.

In Pocket speichern vorlesen Druckansicht 66 Kommentare lesen
Jetzt patchen! Attacken auf Zerologon-Lücke in Windows Server
Lesezeit: 2 Min.

Windows-Admins sollten zügig ihre Server aktualisieren und so vor Attacken schützen. Durch das erfolgreiche Ausnutzen der als "kritisch" eingestuften sogenannten Zerologon-Sicherheitslücke könnten Angreifer ganze Domänen mit Adminrechten übernehmen.

Die Schwachstelle (CVE-2020-1472) ist mit dem höchstmöglichen CVSS Score 10 von 10 eingestuft. Sicherheitsupdates stehen seit dem Patchday im August bereit. In einer offiziellen Warnmeldung hat Microsoft die betroffenen Windows-Server-Versionen aufgelistet.

Mitte September tauchte der erste Exploit-Code auf. Nun hat Microsoft erste Attacken beobachtet und Infos auf Twitter veröffentlicht. Sie raten Admins dazu, ihre Server sofort auf den aktuellen Stand zu bringen. In einem Support-Beitrag hat Microsoft weitere Tipps zur Absicherung zusammengetragen.

Aufgrund von Fehlern beim Einsatz der AES-CFB8-Verschlüsselung beim Netlogon-Prozess könnten entfernte Angreifer ohne Authentifizierung über das Netlogon Remote Protocol (MS-NRPC) eine Verbindung zu einem Domänencontroller aufbauen.

Damit das klappt, müssten Angreifer dem Bericht der Entdecker der Lücke von Secuva zufolge lediglich mit an bestimmten Stellen mit Nullen präparierte Netlogon-Nachrichten verschicken. So könnten beispielsweise Admin-Zugangsdaten leaken. Über ein Test-Skript können Admins ihre Doämencontroller auf Verwundbarkeit prüfen.

Samba ist nur für Zerologon anfällig, wenn die Server-Software als Domänencontroller (Active Directory DC, /NT4-style DC) zum Einsatz kommt.

Ist das der Fall, sollten Admins sicherstellen, dass mindestens die Ausgabe 4.8 aus März 2018 installiert sind. Diese setzt einer Warnmeldung der Samba-Entwickler zufolge standardmäßig auf einen abgesicherten Netlogon-Prozess.

Ob dieser gegen Zerologon abgesicherte Anmeldeprozess aktiv ist, erkannt man am "server schannel = yes"-Eintrag in der Kofigurationsdatei smb.conf. Steht dort aber "no" oder "auto", ist auch Samba 4.8 für Zerologon-Attacken anfällig. Bei 4.7 und jünger ist das der Fall. Die Samba-Entwickler empfehlen, die jüngst veröffentlichten Versionen 4.10.18, 4.11.13 oder 4.12.7 zu installieren.

(des)