Microsoft warnt vor aktiven Angriffen auf Zerologon-Lücke

Microsoft hat aktive Angriffe auf die Zerologon-Sicherheitslücke entdeckt. „Microsoft verfolgt die Aktivitäten von Bedrohungsakteuren anhand von Exploits für die Netlogon-EoP-Schwachstelle CVE-2020-1472, genannt Zerologon. Wir haben Angriffe beobachtet, bei denen öffentliche Exploits in das Arsenal der Angreifer aufgenommen wurden“, teilte das Unternehmen mit.

Sicherheitsexperten hatten mit dieser Entwicklung gerechnet. Seit der Offenlegung der Schwachstelle am 14. September durch die niederländische Sicherheitsfirma Secura BV wurde mehrfach Beispielcode für einen Exploit veröffentlicht – erstmals bereits wenige Stunden nach der Veröffentlichung von Securas Blogbeitrag. Damit wurde auch die Einschätzung der Sicherheitsforscher bestätigt, wonach Zerologon ohne großen Aufwand auch von wenig erfahrenen Cyberkriminellen ausgenutzt werden kann.

Zerologon bezeichnet einen Fehler im Protokoll Netlogon, das wiederum von Windows-Systemen benutzt wird, um sich bei einem Windows Server zu authentifizieren, der als Domain Controller agiert. Angreifer sind unter Umständen in der Lage, die Kontrolle über den Domänencontroller zu übernehmen und somit auch über das interne Netzwerk einer Organisation.

Der Bug wird als sehr gefährlich eingeschätzt. Am vergangenen Wochenende ordnete das US-Heimatschutzministerium über ein Dringlichkeitsanweisung, dass Behörden den von Microsoft bereitgestellten Patch innerhalb von drei Tagen zu installieren haben. Die US-Sicherheitsbehörde CISA wies zudem darauf hin, dass auch die File-Sharing-Software Samba betroffen ist und aktualisiert werden muss.

Sicherheitsexperten raten betroffenen Unternehmen zudem, ungepatchte Domänencontroller, die über das Internet erreichbar sind, vorübergehend offline zu nehmen, um sie zu patchen. Sie sind besonders leicht von außen anzugreifen.

Microsoft bietet bereits seit August einen Patch für die Schwachstelle an. Die Schwachstelle erhielt zwar die maximale Schwergradbewertung von 10 Punkten, Details zu der Anfälligkeit hielt das Unternehmen jedoch zurück. Als Folge konnten auch Administratoren nicht einschätzen, wie gefährlich die Sicherheitslücke tatsächlich war.

Erst einen Montag später beschrieb Secura das gesamte Ausmaß des Problems. „Dieser Angriff hat enorme Auswirkungen“, sagte das Secura-Team in der vergangenen Woche. „Im Grunde erlaubt er es jedem Angreifer im lokalen Netzwerk (wie einem böswilligen Insider oder jemandem, der einfach ein Gerät an einen lokalen Netzwerkanschluss angeschlossen hat), die Windows-Domäne vollständig zu kompromittieren.“

Vollständig behoben wurde der Fehler in Netlogon allerdings noch nicht. Bisher machte Microsoft lediglich eine Sicherheitsfunktion, die Zerologon deaktiviert hatte, für alle Netlogon-Authentifizierungen obligatorisch, wodurch Zerologon-Angriffe effektiv geblockt werden. Ein vollständiger Patch ist für Februar 2021 geplant. Leider geht Microsoft davon aus, dass dieser spätere Patch am Ende die Authentifizierung auf einigen Geräten unterbrechen wird. Einzelheiten zu diesem zweiten Patch sind jedoch noch nicht veröffentlicht.

ANZEIGE

Auf zu neuen Höhen mit SkySQL, der ultimativen MariaDB Cloud

In diesem Webinar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Windows 10 20H2: Installation mit Virtualbox

Mithilfe einer Virtualisierungslösung wie Virtualbox lässt sich Windows 10 auch unter macOS und Linux nutzen.…

9 Stunden ago

Studie: Home-Office verschärft Bedrohungslage

Die überwiegende Mehrheit der Unternehmen hält angesichts größerer Sicherheitsprobleme durch Home-Office-Nutzung während der Corona-Pandemie Zero-Trust-Konzepte…

10 Stunden ago

Bundesregierung erlaubt Einsatz von Staatstrojaner für alle Geheimdienste

Die Nachrichtendienste sollen damit "schwere Bedrohungen für den demokratischen Rechtsstaat und die freiheitliche demokratische Grundordnung"…

10 Stunden ago

Singles Day 2020: Alibaba kündigt Global Shopping Festival an

Das eigentliche Event dauert 2020 insgesamt vier Tage. Alibaba öffnet die Schnäppchenjagd für mehr ausländische…

10 Stunden ago

Google schließt aktiv ausgenutzte Zero-Day-Lücke in Chrome

Betroffen ist die Komponente FreeType. Google hält alle Details zu der Schwachstelle zurück. Ein Patch…

12 Stunden ago

Security-Awareness: Drei Tipps wie CIOs die menschliche Firewall ihres Unternehmens stärken können

Renee Tarun, Deputy CISO/ Vice President Information Security bei Fortinet, gibt drei Tipps, wie CISOs…

13 Stunden ago