Microsoft warnt erneut vor Angriffen auf Zerologon-Lücke

Microsoft hat über das Microsoft Security Response Center eine weitere Warnung vor Angriffen auf das Windowsprotokoll Netlogon ausgegeben. Die auch als Zerologon bekannte Schwachstelle erlaubt es, die Anmeldedaten für eine Domain zu stehlen und somit die vollständige Kontrolle über die Domain zu übernehmen.

„Microsoft hat eine kleine Anzahl von Berichten von Kunden und anderen Personen über fortgesetzte Aktivitäten erhalten, die eine Schwachstelle im Netlogon-Protokoll (CVE-2020-1472) ausnutzen, die zuvor in Sicherheitsupdates ab dem 11. August 2020 behoben wurde“, schreibt Aanchal Gupta, Vice President Engineering des Microsoft Security Response Center.

Betroffen sind alle Versionen von Microsofts Server-Betriebssystem, angefangen bei Windows Server 2008 R2 bis hin zu Windows Server 2019 und Windows Server Version 2004. Gupta fordert Administratoren dieser Systeme auf, den am 11. August veröffentlichten Patch umgehend zu installieren. „Die Bereitstellung des Sicherheitsupdates vom 11. August 2020 oder einer späteren Version für jeden Domänencontroller ist der kritischste erste Schritt zur Behebung dieser Schwachstelle.“

Darüber hinaus sollten die anfälligen Systeme anhand ihrer Event Logs auf möglicherweise verdächtige Verbindungen überwacht werden. Dort lassen sich laut Microsoft auch Verbindungsanfragen von nicht regelkonformen Geräten aufspüren. Details dazu hält Microsoft in einem aktualisierten Support-Artikel bereit.

Darin weist das Unternehmen auch erneut darauf hin, dass im Februar 2021 ein weiteres Update für die Netlogon-Lücke folgt. Es wird den sogenannten Enforcement Mode, der die Sicherheitslücke schließt, standardmäßig auf allen Windows-Domänencontrollern aktivieren und alle verdächtigen Verbindungen von nicht regelkonformen Geräten blockieren. Auch soll es ab dann nicht mehr möglich sein, den Enforcement-Modus abzuschalten.

Hacker setzen die Schwachstelle derzeit unter anderem für Angriffe auf Regierungsnetzwerke ein. Mitte Oktober wiesen bereits das FBI und die US-Cybersicherheitsbehörde CISA auf das Problem hin. Hacker kombinieren demnach die Netlogon-Lücke mit einer Schwachstelle in einer VPN-Lösung von Fortinet, um in Netzwerke einzudringen.

Microsoft meldete bereits Ende September aktive Attacken auf Zerologon. Sicherheitsexperten hatten allerdings mit dieser Entwicklung gerechnet, das mehr Beispielcode für einen Exploit veröffentlicht wurde. Der niederländische Anbieter Secura BC sah seine Einschätzung bestätigt, wonach Zerologon ohne großen Aufwand auch von wenig erfahrenen Cyberkriminellen ausgenutzt werden kann.

Im August hatte Microsoft die Anfälligkeit für alle betroffenen Betriebssysteme als kritisch eingestuft. Eine Ausnutzung für Angriffe hielt das Unternehmen zu dem Zeitpunkt jedoch für „wenig wahrscheinlich“.

WEBINAR

Beim Endpunkt-Schutz zählt jede Sekunde: Warum die Entschärfung in Echtzeit entscheidend ist

Carsten Maceus, Systems Engineer bei Fortinet, erläutert in diesem Webinar, wie eine moderne IT-Sicherheitsarchitektur in Unternehmen aussehen sollte. Er illustriert dies am Beispiel eines Fußballstadions wo Bengalos, Flitzer, Ordner und Zuschauer agieren. Spannend.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

WLAN in Unternehmen: Wie steht es mit der Sicherheit?

Die Installation und der Betrieb eines WLANs in Unternehmen erfordern die Berücksichtigung zahlreicher Faktoren. Mit…

1 Tag ago

Krypto-Manager zu Haftstrafe verurteilt

Der Gründer von zwei inzwischen aufgelösten Kryptowährungs-Hedgefonds wurde wegen Veruntreuung und unerlaubter Investitionen mit Kundengeldern…

1 Tag ago

Microsoft warnt vor manipulierten Office-Dokumenten

Microsoft hat detailliert beschrieben, wie Hacker vor kurzem eine gefährliche Sicherheitslücke in der MSHTML- oder…

1 Tag ago

Datenaufbereitung als Achillesferse

Die Datenaufbereitung stellt Firmen vor neue Herausforderungen. Tandem-Teams aus Business-Stakeholdern und IT-Experten sowie regelmäßige Reviews…

1 Tag ago

Apple: iPhone 13 und mehr

Apple hat sein "California Streaming"-Event abgeschlossen, auf dem das Unternehmen mehrere neue Hardware-Produkte vorgestellt hat,…

3 Tagen ago

Fitness mit Tücken

Über 61 Millionen Wearable- und Fitness-Tracking-Datensätze sind über eine ungesicherte Datenbank des Unternehmens GetHealth offengelegt…

4 Tagen ago