Mit größter Diskretion bereinigte Microsoft im August laut ZDNet „einen der schwerwiegendsten Fehler, die dem Unternehmen je gemeldet wurden“. Der Schweregrad wurde bestätigt durch CVSSv3, welches der Schwachstelle den Höchstwert von 10/10 zuordnet. Mit dieser Schwachstelle CVE-2020-1472, auch Zerologon genannt, kann ein Angreifer von einem Client-Computer aus das Passwort jedes Active Directory Accounts, inklusive Domänencontroller Accounts, ändern.

 

Durch die Übernahme eines Domänencontroller Accounts kann der Angreifer anschließend die Kontrolle über Windows Server in Unternehmensnetzwerken übernehmen. Da es durchschnittlich nur 256 Versuche - also etwa 3 Sekunden - für einen erfolgreichen Versuch braucht, ist diese Sicherheitslücke ist umso gefährlicher.

Das Patch wurde von Microsoft während des Patch Tuesday im August veröffentlicht und der Fehler wurde dabei als Erhöhung von Berechtigungen im Netlogon Protokoll beschrieben.

 

Details zur Schwachstelle CVE-2020-1472

Der Exploit basiert auf der Nutzung des Interface DCERPC RPC_NETLOGON_UUID (12345678-1234-abcd-ef00-01234567cffb) mit zwei Methoden NetrServerReqChallenge (opnum 4) und NetrServerAuthenticate3 (opnum 26), bei denen die Felder Client Challenge und Client Credential als „0000000000000000“ festgelegt sind.

Auch wenn der Angreifer zu diesem Zeitpunkt bereits die Authentifizierung umgehen konnte, verfügt er dank der Netlogon Transportverschlüsselung (Signing und Sealing) noch nicht über den Sitzungsschlüssel. Um dieses Hindernis zu überwinden, muss der Angreifer via NetrServerAuthenticate3 „Supports Secure RPC und AES & SHA2 encryption“ deaktivieren. So kann der Angreifer nach mehreren Versuchen (durchschnittlich 256) den Sitzungsschlüssel erhalten und durch das AD authentifiziert werden.

Diese Sicherheitslücke war bereits Thema eines ausführlichen Whitepaper des niederländischen Sicherheitsunternehmens Secura B.V., sowie eines POC, den das spanische Unternehmen BlackArrow realisierte.

 

Bedrohungsmanagement mit Stormshield Network Security

Blockieren von RPC_NETLOGON_UUID im DCERPC Protokoll

Es ist möglich die Nutzung von RPC_NETLOGON_UUID über die Konfiguration des DCERPC Protokolls zu blockieren. Allerdings beeinflusst dies alle Verwendungen des Netlogon Protokolls des Typs Passwortzurücksetzung und Sicherung der AD-Nutzerdatenbanken.

Bei Nutzung dieser Lösung sollte man sich also vor Augen führen, dass bis zur Umsetzung des offiziellen Microsoft Patch und Schutz durch die nachstehend beschriebene Signatur gewisse Störungen eintreten.

Entdeckung des Angriffs durch IPS Signatur

Die Schutzsignatur „DCERPC: Microsoft Remote Netlogon Protocol Vulnerability (CVE-2020-1472)“ mit der ID „dcerpc:request:data:9“ wurde veröffentlicht und unseren Kunden zur Verfügung gestellt. Durch sie kann man sich vor einem Zerologon Cyberangriff schützen.

Sie ist standardmäßig auf „Pass“ konfiguriert und muss auf „Block“ geändert werden, um Angriffsversuche zu stoppen. Um geschützt zu sein, stellen Sie ebenfalls sicher, dass Ihre Filterregeln DCERPC Flüsse zulassen und die IPS Analyse auslösen.

 

Bedrohungsmanagement mit Stormshield Endpoint Security

Der Angriff basiert auf einem Fehler des kryptographischen Algorithmus in der Netzwerkverbindung zwischen einem Computer und einem Server. Da es dabei um keinerlei Datei oder Konfigurationsänderung des Computers geht, schützt die SES Lösung nicht vor Angriffen dieser Art.

 

Empfehlungen aus dem Hause Stormshield

Die Hauptempfehlung zum aktuellen Zeitpunkt besteht in der schnellstmöglichen Anwendung des von Microsoft veröffentlichten Patch auf Ihren Domänencontrollern. Lesen Sie mehr über sicherheitsanfällige Softwareversionen und den Umgang mit ihnen.

Da die Schwachstelle bereits älter ist, sollten Passwörter von Domänencontrollern geändert und ein Audit der Konten Ihrer Domain durchgeführt werden (Überprüfung von Änderungen und der angelegten Konten).

Teilen auf

[juiz_sps buttons="facebook, twitter, linkedin, mail"]
Über den Autor
mm
Julien Paffumi Product Portfolio Manager, Stormshield

Julien Paffumi hat seine ersten Schritte in der Forschungs- und Entwicklungsabteilung von Arkoon als Qualitätsingenieur gemacht. Später schulte er direkt die Administratoren und erwarb ein umfassendes Wissen über deren Bedürfnisse - eine wertvolle Erfahrung für seine nächste Rolle als Product Manager der Arkoon Fast360 Firewalls und später der zentralen Verwaltungskonsole Stormshield Management Center. Als Product Portfolio Manager hat er nun eine bereichsübergreifende Rolle, die es ihm ermöglicht, seine ewige Neugier mit einem umfassenderen Ansatz zu den Stormshield-Lösungen zu nähren.