Neu

Sicherheitslücke Zerologon

CVE-2020-1472

Seit Anfang August diesen Jahres ist die Sicherheitslücke Zerologon – CVE-2020-1472 publik. Die Quelle der Lücke stellt ein Fehler im Netlogon-Remote-Protokoll dar, mit dem es möglich ist, erweiterte Rechte auf Domänencontrollern sowie Domänenintegrieten-Computer zu erlangen.

Microsoft hat am 11. August 2020 mit Beschreibung der „Erstbereitstellungsphase“ begonnen auf die Sicherheitslücke zu reagieren. Zwar wird die Lücke erst im Februar 2021 durch ein Windows Update zwanghaft geschlossen. Aktiv werden sollte man jedoch jetzt schon unbedingt mit einigen Maßnahmen.

Als Grundlage und Quelle für den Ablauf dient der bereitgestellte Microsoft-Artikel : https://support.microsoft.com/de-de/help/4557222/how-to-manage-the-changes-in-netlogon-secure-channel-connections-assoc

Dieser Artikel beschreibt einfach und deutlich wie ein IT-Verantwortlicher reagieren kann. Daher hier eine sehr kurze Zusammenfassung der zu unternehmenden Schritte.

  • Installation der aktuellsten Windows Updates auf allen Domänencontrollern/ Read Only Domänencontrollern (Mindestens Stand: August 2020)

Hinweis: Mit Installation der August-Updates auf einem Domänencontroller wir das System-Ereignisprotokoll um die IDs (5827 – 5831) mit Bezug auf Non-RPC bzw. Netlogon-Verbindungs-Anfragen erweitert. Dies vereinfacht die Analyse im eigenen Netzwerk nach entsprechenden System, die eine Kanalverbindung via Netlogon aufbauen.

  • Überprüfen Sie im Verlauf der Tage nach Installation der Windows Updates die System-Ereignisprotokolle der Domänencontroller auf das Ereignis 5829 als Warnung. Dieses beschreibt das eine Netlogon-Verbindung zum Domänencontroller aufgebaut und zugelassen wurde. Das entsprechende System sollte zunächst dokumentiert werden.
  • Umstellung der erfassten System nach Ereignis-ID 5829 von Netlogon auf RPC sofern möglich. Sollte eine Umstellung nicht möglich sein und das System nicht zur Ablösung aussteht, kann eine Ausnahme für die Nutzung des Netlogon-Verbindunsporotkoll eingerichtet werden. Die Einrichtung erfolgt über das Gruppenrichtlinienobjekt:
Richtlinien-Pfad:
Computerkonfiguration > Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinie > Sicherheitsoptionen

Windows Server 2012 R2:
Domänencontroller: Sichere Verbindungen mit verwundbaren Kanälen über den Anmeldedienst (Netlogon) zulassen

Windows Server 2016-2019:
Domänencontroller: Zulassen von angreifbaren sicheren Netlogon-Kanalverbindungen
  • Werden über einen gewissen Zeitraum keine Ereignisse mit den IDs (5827-5829) im Systemprotokoll protokolliert, kann der Verbindungsaufbau via Netlogon auf den Domänencontrollern unterbunden und somit die vollständige Verwendung von RPC mit folgendem Registrierungseintrag erzwungen werden.
Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

Wert (REG_DWORD):
FullSecureChannelProtection

Option:
1 – Netlogon-Kanalverbindungen werden nicht mehr zugelassen.
0 – Unsichere Netlogon-Kanalverbindungen von Nicht-Windows-Systemen werden weiterhin zugelassen.
Quelle
Microsoft

Leon Gawinski

System Engineer Softwarebereich Microsoft

Empfohlene Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Schaltfläche "Zurück zum Anfang"