Zum vorletzten Patch Tuesday im August 2020 hatte Microsoft unter anderem die als kritisch eingestufte Sicherheitslücke CVE-2020-1472 (CVSS-Höchstwertung 10.0) in mehreren Windows Server-Versionen geschlossen.
Jetzt haben Forscher funktionierenden Exploit-Code für CVE-2020-1472 entwickelt. Mit ihm könnte sich ein Angreifer, der sich im lokalen (Unternehmens-)Netzwerk befindet, als Domänen-Administrator anmelden – und zwar komplett ohne vorherige Kenntnis gültiger Zugangsdaten. Admins, die die Updates von August noch nicht eingespielt haben, sollten dies schleunigst nachholen.
Eine Liste der betroffenen Windows Server-Versionen sowie Links zu den Aktualisierungen sind Microsofts Security Advisory zu entnehmen. Überdies hat Microsoft zum Patchday ein Dokument mit weiteren Informationen zum Update veröffentlicht, da dieses in eine "Erstbereitstellungs-" und eine "Erzwingungsphase" unterteilt wurde. Bei frühzeitigem Einspielen müssen möglicherweise zusätzliche Registry-Anpassungen vorgenommen werden.
- CVE-2020-1472 | Netlogon Elevation of Privilege Vulnerability
- Weitere Informationen zum Updatevorgang
Technische Details verrät ein Blogeintrag des Unternehmens Secura, das CVE-2020-1472 entdeckt hat. Demnach basiert die Lücke auf einem kryptografischen Implementierungsfehler im Netlogon Remote Protocol (MS-NRPC). Ein Angreifer könnte ihn ausnutzen, um im Anschluss an einen Verbindungsaufbau das Passwort des entfernten, verwundbaren Domänencontrollers beliebig zu ändern.
Secura hat ein ausführliches Whitepaper zum "Zerologon"-Exploit veröffentlicht – außerdem ein Zerologon Testing Script, mit dem Domänencontroller auf ihre Verwundbarkeit getestet werden können. Auf die Veröffentlichung von Proof-of-Concept-Code hat Secura bewusst verzichtet. Allerdings haben sich auf Basis der Vorarbeit von Secura mehrere andere Forscher und Firmen in den letzten Stunden dieser Aufgabe gewidmet und ihren Code bei GitHub veröffentlicht. Somit hätten potenzielle Angreifer ausreichend vorgefertigtes Werkzeug zur Hand.
Quelle: Update seit August verfügbar: Forscher coden Exploits für Windows Server-Lücke | heise online
Update: 21.09.2020
Zerologon-Lücke in Windows Server: US-Regierung hat vier Tage Zeit zum Patchen
Die Cybersecurity and Infrastructure Security Agency hat aufgrund einer kritischen Windows-Server-Lücke eine Notfall-Richtlinie verhängt.
Admins der US-Regierung haben eine Anweisung erhalten, Windows Server in US-Regierungsstellen innerhalb von vier Tagen zu patchen. Der Grund dafür ist eine als "kritisch" eingestufte Sicherheitslücke (CVE-2020-1472) mit Höchstwertung (CVSS Score 10 von 10). Die Lücke sollten Admins weltweit ernst nehmen und die verfügbaren Sicherheitsupdates installieren.
Die Notfall-Richtlinie stammt von der Cybersecurity and Infrastructure Security Agency (CISA) und sie wurde am 18. September 2020 verhängt. Regierungs-Admins haben demzufolge bis zum 21. September Zeit, Systeme abzusichern. Setzen Angreifer erfolgreich an der Lücke an, könnten sie als Admins ganze Domänen übernehmen.
Gefährliche Sicherheitslücke
Die Schwachstelle betrifft das Netlogon-Protokoll. Für eine erfolgreiche Attacke müsste sich ein Angreifer über das Netlogon Remote Protocol (MS-NRPC) mit einem Domänencontroller verbinden. Dafür muss er nicht angemeldet sein. Der Zugriff auf ein verwundbares Netzwerk ist aber unabdingbar. Mehr Details zur Lücke haben Sicherheitsforscher von Secura in einem Dokument zusammengetragen.
Klappt eine Attacke, könnte ein Angreifer eigenen Code ausführen und sich zum Admin hochstufen. In einer Warnmeldung listet Microsoft die betroffenen Windows-Server-Versionen auf. Dort findet man auch Informationen zu den Sicherheitsupdates.
Den Sicherheitspatch hat Microsoft bereits im August veröffentlicht. Mitte September tauchte Exploit-Code auf. Die CISA stuft die Lücke als Gefährdung der nationalen Sicherheit ein. Admins müssen nun handeln und Server aktualisieren. Ist das nicht möglich, müssen verwundbare Server vom Netz genommen werde. Die CISA fordert am 23. September 2020 einen Report über die Windows-Server-Situation ein.
Quelle: Zerologon-Lücke in Windows Server: US-Regierung hat vier Tage Zeit zum Patchen | heise online
Update: 13.10.2020
Angreifer auf US-Regierungsnetzwerke kombinieren "Zerologon" mit weiteren Lücken
Sicherheitslücken in FortiOS und MobileIron Core & Connector werden mit Zerologon zu einer Exploit-Chain verwoben, warnen CISA und FBI.
Das FBI und die Cybersecurity and Infrastructure Security Agency (CISA) haben Ende vergangener Woche in einem gemeinsamen Alert vor aktuellen Cyberangriffen in den USA gewarnt, die sich überwiegend auf Regierungsnetzwerke konzentrierten. Offenbar kombinierten die Angreifer hierbei die kritische "Zerologon"-Sicherheitslücke in Windows Server mit weiteren Lücken zu einer Exploit-Chain – und das teils mit Erfolg.
Die Behörden raten dringend zum Einspielen der längst verfügbaren Updates und verweisen auf weitere Exploit-Kombinationen, auf die die Angreifer in naher Zukunft ausweichen könnten.
- CISA Alert: APT Actors Chaining Vulnerabilities Against SLTT, Critical Infrastructure, and Elections Organizations
Um initialen Zugriff auf das jeweillige Netzwerk zu erlangen, hätten die Angreifer in mehreren Fällen die FortiOS-Sicherheitslücke CVE-2018-13379 missbraucht. Die hatte Fortinet bereits Ende Mai 2019 aus dem SSL-VPN-Webportal des FortiOS-Betriebsystems entfernt. In einigen, allerdings deutlich weniger Fällen sei stattdessen eine kritische Remote-Code-Execution-Lücke jüngeren Datums in MobileIron Core & Connector (CVE-2020-15505, betrifft Versionen bis inkl. 10.3) zum Einsatz gekommen.
- Update-Informationen zu CVE-2018-13379 (FortiOS)
- Update-Informationen zu CVE-2020-15505 (MobileIron Core & Connector)
Notfall-Richtlinie nicht berücksichtigt
In Bezug auf Hintergrund und Zweck der Angriffe liest sich der Alert von FBI und CISA eher vage. In einigen Fällen sei es den Angreifern gelungen, sich Zugang zu Wahlunterstützungssystemen zu verschaffen, allerdings gebe es bislang keine handfesten Anhaltspunkte dafür, dass die Wahlintegrität kompromittiert wurde. Auch sei völlig offen, ob die Verfügbarkeit von Wahldaten überhaupt ein Angriffskriterium dargestellt habe.
Dass der Zugriff überhaupt – und offenbar vielfach – gelang, ist vor allem vor dem Hintergrund bedenklich, dass die CISA bereits am 18. September 2020 eine Notfall-Richtlinie für US-Regierungs-Admins veröffentlicht hatte. Diese gab ihnen bis zum 21. September Zeit, Systeme gegen Zerologon abzusichern. Passiert ist das offensichtlich längst nicht in allen Fällen.
Quelle: Angreifer auf US-Regierungsnetzwerke kombinieren "Zerologon" mit weiteren Lücken | heise online
Update: 31.10.2020
Microsoft warnt erneut vor Angriffen auf Zerologon-Lücke
Es liegen neue Berichte über fortgesetzte Aktivitäten von Cyberkriminellen vor. Microsoft betont erneut, dass das August-Update nur der erste Schritt zur Behebung der Schwachstelle ist. Vollständig schließt erst ein für Februar angekündigte Patch die Sicherheitslücke.
Microsoft hat über das Microsoft Security Response Center eine weitere Warnung vor Angriffen auf das Windowsprotokoll Netlogon ausgegeben. Die auch als Zerologon bekannte Schwachstelle erlaubt es, die Anmeldedaten für eine Domain zu stehlen und somit die vollständige Kontrolle über die Domain zu übernehmen.
„Microsoft hat eine kleine Anzahl von Berichten von Kunden und anderen Personen über fortgesetzte Aktivitäten erhalten, die eine Schwachstelle im Netlogon-Protokoll (CVE-2020-1472) ausnutzen, die zuvor in Sicherheitsupdates ab dem 11. August 2020 behoben wurde“, schreibt Aanchal Gupta, Vice President Engineering des Microsoft Security Response Center.
Betroffen sind alle Versionen von Microsofts Server-Betriebssystem, angefangen bei Windows Server 2008 R2 bis hin zu Windows Server 2019 und Windows Server Version 2004. Gupta fordert Administratoren dieser Systeme auf, den am 11. August veröffentlichten Patch umgehend zu installieren. „Die Bereitstellung des Sicherheitsupdates vom 11. August 2020 oder einer späteren Version für jeden Domänencontroller ist der kritischste erste Schritt zur Behebung dieser Schwachstelle.“
Darüber hinaus sollten die anfälligen Systeme anhand ihrer Event Logs auf möglicherweise verdächtige Verbindungen überwacht werden. Dort lassen sich laut Microsoft auch Verbindungsanfragen von nicht regelkonformen Geräten aufspüren. Details dazu hält Microsoft in einem aktualisierten Support-Artikel bereit.
Darin weist das Unternehmen auch erneut darauf hin, dass im Februar 2021 ein weiteres Update für die Netlogon-Lücke folgt. Es wird den sogenannten Enforcement Mode, der die Sicherheitslücke schließt, standardmäßig auf allen Windows-Domänencontrollern aktivieren und alle verdächtigen Verbindungen von nicht regelkonformen Geräten blockieren. Auch soll es ab dann nicht mehr möglich sein, den Enforcement-Modus abzuschalten.
Hacker setzen die Schwachstelle derzeit unter anderem für Angriffe auf Regierungsnetzwerke ein. Mitte Oktober wiesen bereits das FBI und die US-Cybersicherheitsbehörde CISA auf das Problem hin. Hacker kombinieren demnach die Netlogon-Lücke mit einer Schwachstelle in einer VPN-Lösung von Fortinet, um in Netzwerke einzudringen.
Microsoft meldete bereits Ende September aktive Attacken auf Zerologon. Sicherheitsexperten hatten allerdings mit dieser Entwicklung gerechnet, das mehr Beispielcode für einen Exploit veröffentlicht wurde. Der niederländische Anbieter Secura BC sah seine Einschätzung bestätigt, wonach Zerologon ohne großen Aufwand auch von wenig erfahrenen Cyberkriminellen ausgenutzt werden kann.
Im August hatte Microsoft die Anfälligkeit für alle betroffenen Betriebssysteme als kritisch eingestuft. Eine Ausnutzung für Angriffe hielt das Unternehmen zu dem Zeitpunkt jedoch für „wenig wahrscheinlich“.
Quelle: Microsoft warnt erneut vor Angriffen auf Zerologon-Lücke | ZDNet.de
Update: 26.11.2020
Britische Sicherheitsbehörde warnt vor Angriffen auf MobileIron-Schwachstelle
US-Behörden meldeten schon im Oktober Angriffe auf eine (gefixte) Schwachstelle in MobileIron Core & Connector. Nun warnt auch die britische Cyberaufsicht.
Das britische National Cyber Security Centre (NCSC) beobachtet derzeit aktive Angriffe auf Netzwerke staatlicher Einrichtungen und Organisationen im Vereinigten Königreich mittels einer Sicherheitslücke in den Core- und Connector-Komponenten von MobileIrons Mobile Device Management-Systemen (MDM). Das NCSC rät dringend zum Update.
Die kritische Lücke CVE-2020-15505 war bereits im Juni dieses Jahres von MobileIron geschlossen worden; seit September ist ein Proof-of-Concept-Exploit öffentlich verfügbar. Seitdem attackieren Cyberkriminelle und staatlich finanzierte APT (Advanced Persistent Threat)-Akteure laut NCSC britische Kommunalverwaltungen, den Gesundheitssektor sowie Einrichtungen aus dem logistischen und juristischen Bereich. In einigen Fällen seien die Angriffe erfolgreich gewesen. Weitere Einrichtungen könnten laut aktuellem Alert des NCSC ebenfalls betroffen sein.
Bereits Ende Oktober hatten das FBI und die Cybersecurity and Infrastructure Security Agency (CISA) ähnliche Warnhinweise bezüglich Angriffen auf US-Regierungsnetzwerke veröffentlicht. Dabei war unter anderem CVE-2020-15505 mit Zerologon (CVE-2020-1472) kombiniert worden, um im Anschluss an den initialen Einbruch in Netzwerke Domänen-Admin-Rechte für Windows-Server zu erlangen.
Update vornehmen, soweit noch nicht erfolgt
Das NCSC rät nachdrücklich zum Update, soweit dieses noch nicht vorgenommen wurde. Die seit 15. Juni bereitstehende Aktualisierung schließt neben der Remote-Code-Execution-Lücke CVE-2020-15505 (CVSS-Score 9.8) noch eine weitere kritische Lücke (CVE-2020-15506, Authentication Bypass, CVSS-Score 9.8) sowie eine dritte mit "High"-Einstufung (CVE-2020-15507, Arbitrary File Reading, 7.5). Updates sind für MobileIron Core & Enterprise Connector, MobileIron Sentry und die Monitor and Reporting Database (RDB) verfügbar.
Informationen zu verwundbaren und abgesicherten Versionen nennt MobileIron im Advisory:
- MobileIron Security Updates Available
Quelle: Britische Sicherheitsbehörde warnt vor Angriffen auf MobileIron-Schwachstelle | heise online