Mit größter Diskretion bereinigte Microsoft im August laut ZDNet „einen der schwerwiegendsten Fehler, die dem Unternehmen je gemeldet wurden“. Der Schweregrad wurde bestätigt durch CVSSv3, welches der Schwachstelle den Höchstwert von 10/10 zuordnet. Mit dieser Schwachstelle CVE-2020-1472, auch Zerologon genannt, kann ein Angreifer von einem Client-Computer aus das Passwort jedes Active Directory Accounts, inklusive Domänencontroller Accounts, ändern.
Durch die Übernahme eines Domänencontroller Accounts kann der Angreifer anschließend die Kontrolle über Windows Server in Unternehmensnetzwerken übernehmen. Da es durchschnittlich nur 256 Versuche - also etwa 3 Sekunden - für einen erfolgreichen Versuch braucht, ist diese Sicherheitslücke ist umso gefährlicher.
Das Patch wurde von Microsoft während des Patch Tuesday im August veröffentlicht und der Fehler wurde dabei als Erhöhung von Berechtigungen im Netlogon Protokoll beschrieben.
Details zur Schwachstelle CVE-2020-1472
Der Exploit basiert auf der Nutzung des Interface DCERPC RPC_NETLOGON_UUID (12345678-1234-abcd-ef00-01234567cffb) mit zwei Methoden NetrServerReqChallenge (opnum 4) und NetrServerAuthenticate3 (opnum 26), bei denen die Felder Client Challenge und Client Credential als „0000000000000000“ festgelegt sind.
Auch wenn der Angreifer zu diesem Zeitpunkt bereits die Authentifizierung umgehen konnte, verfügt er dank der Netlogon Transportverschlüsselung (Signing und Sealing) noch nicht über den Sitzungsschlüssel. Um dieses Hindernis zu überwinden, muss der Angreifer via NetrServerAuthenticate3 „Supports Secure RPC und AES & SHA2 encryption“ deaktivieren. So kann der Angreifer nach mehreren Versuchen (durchschnittlich 256) den Sitzungsschlüssel erhalten und durch das AD authentifiziert werden.
Diese Sicherheitslücke war bereits Thema eines ausführlichen Whitepaper des niederländischen Sicherheitsunternehmens Secura B.V., sowie eines POC, den das spanische Unternehmen BlackArrow realisierte.
Bedrohungsmanagement mit Stormshield Network Security
Blockieren von RPC_NETLOGON_UUID im DCERPC Protokoll
Es ist möglich die Nutzung von RPC_NETLOGON_UUID über die Konfiguration des DCERPC Protokolls zu blockieren. Allerdings beeinflusst dies alle Verwendungen des Netlogon Protokolls des Typs Passwortzurücksetzung und Sicherung der AD-Nutzerdatenbanken.
Bei Nutzung dieser Lösung sollte man sich also vor Augen führen, dass bis zur Umsetzung des offiziellen Microsoft Patch und Schutz durch die nachstehend beschriebene Signatur gewisse Störungen eintreten.
Entdeckung des Angriffs durch IPS Signatur
Die Schutzsignatur „DCERPC: Microsoft Remote Netlogon Protocol Vulnerability (CVE-2020-1472)“ mit der ID „dcerpc:request:data:9“ wurde veröffentlicht und unseren Kunden zur Verfügung gestellt. Durch sie kann man sich vor einem Zerologon Cyberangriff schützen.
Sie ist standardmäßig auf „Pass“ konfiguriert und muss auf „Block“ geändert werden, um Angriffsversuche zu stoppen. Um geschützt zu sein, stellen Sie ebenfalls sicher, dass Ihre Filterregeln DCERPC Flüsse zulassen und die IPS Analyse auslösen.
Bedrohungsmanagement mit Stormshield Endpoint Security
Der Angriff basiert auf einem Fehler des kryptographischen Algorithmus in der Netzwerkverbindung zwischen einem Computer und einem Server. Da es dabei um keinerlei Datei oder Konfigurationsänderung des Computers geht, schützt die SES Lösung nicht vor Angriffen dieser Art.
Empfehlungen aus dem Hause Stormshield
Die Hauptempfehlung zum aktuellen Zeitpunkt besteht in der schnellstmöglichen Anwendung des von Microsoft veröffentlichten Patch auf Ihren Domänencontrollern. Lesen Sie mehr über sicherheitsanfällige Softwareversionen und den Umgang mit ihnen.
Da die Schwachstelle bereits älter ist, sollten Passwörter von Domänencontrollern geändert und ein Audit der Konten Ihrer Domain durchgeführt werden (Überprüfung von Änderungen und der angelegten Konten).