Die Sicherheitslücke CVE-2020-1472 steht für einen Fehler im Authentifizierungsprotokoll von Windows Servern; konkret in dessen Microsoft Windows Netlogon Remote Protocol (MS-NRPC).
Zerologon Exploit Code bereits öffentlich
CompData empfiehlt dringende Updates, da bereits ein Exploit-Code öffentlich ist.
Dieser Programmcode, der vergleichsweise einfach anzuwenden ist, hilft Unbefugten dabei, die Sicherheitslücke Zerologon auszunutzen und sich Serverzugang zu verschaffen.
Der Schaden für Unternehmen kann im Falle eines erfolgreichen Angriffs beträchtlich sein. Daher wurde Zerologon mit dem höchsten Wert des Schweregrades eingestuft. Durch die Schwachstelle können Angreifer von einem beliebigen, im aktiven Netzwerk integrierten Rechner das Passwort des Windows Servers, insbesondere des Domänencontrollers, ändern oder entsprechende Prozessaufrufe absetzen. Das bedeutet, über einen im Netzwerk angeschlossenen PC erreicht der Angreifer den Server, der als Domain Controller für die zentrale Authentifizierung von Computern und Benutzern in einem Rechnernetz zuständig ist.
Dringende Sicherheitsupdates mindern Zerologon-Schwachstelle
Die Sicherheitslücke CVE-2020-1472 betrifft nicht nur die Verfügbarkeit einzelner Geräte, sondern eben die Domänen-Sicherheitskonfiguration und damit die komplette IT-Infrastruktur.
Die Installation der von Microsoft bereitgestellten Sicherheitsupdates ist auf allen als Domänencontroller eingesetzten Windows Servern schnellstmöglich umzusetzen. Zudem sollten neue Server nicht ohne die Sicherheitsupdates in Betrieb gehen. Danach wird die Verbindung über einen sicheren „Netlogon-Kanal“ (Secure-NRPC) für kompatible Geräte ermöglicht.
Microsoft Sicherheitsempfehlung – und die von CompData
In der Microsoft-Sicherheitsempfehlung wird die strikte Abschaltung unsicherer NRPC-Verbindungen mit einem weiteren Update für Februar 2021 definiert. Diese Abschaltung kann Ausfälle an unterschiedlichen Stellen der Infrastruktur hervorrufen. Abhängig von der Systemgröße, Anzahl und Aktualität der Geräte lassen sich diese Auswirkungen nicht für jede IT-Infrastruktur im Vorfeld bestimmen.
Um bereits vor der Installation des Updates im Februar 2021 Vorkehrungen zu treffen, empfehlen wir, zeitnah die zwingend erforderliche Installation der Updates, ebenso wie die Konfiguration passender Gruppenrichtlinien auf Domänencontrollern. Diese Anpassung sorgt vorerst für einen Zeitgewinn, welcher der automatisierten Umstellung auf die abgesicherte Microsoft -Konfiguration mehr Zeit einräumt und sie so planbarer und strukturierter gestaltet werden kann. Mit dieser Vorgehensweise ist es möglich, eine genaue Auflistung der spätestens ab Februar 2021 nicht mehr kompatiblen und zeitnah zu ersetzenden Geräten zu erstellen.
Für die Vielzahl digitaler Prozesse ist die IT-Security ein wesentlicher Bestandteil. Lesen Sie auf unseren IT-Security Seiten, was dazu alles gehört.
Sie haben Fragen zum Thema Zerologon und IT-Sicherheit? Gerne informiert Sie Herr Cartarius individuell und auf Ihre Bedürfnisse abgestimmt.
Telefon: +49 (0)7431 950-455
E-Mail: