Die im Netlogon Remote Protocol vorhandene Zerologon-Schwachstelle wird laut einem neuen Microsoft-Blogbeitrag immer noch aktiv von Angreifern ausgenutzt, die auf ungepatchte Systeme abzielen. Während der Softwareriese die Schwachstelle bereits im August in einer Reihe von Sicherheitsupdates gepatcht hat, müssen viele Unternehmen ihre Windows Server-Geräte noch patchen, wodurch sie anfällig für Elevations-of-Privilege-Angriffe sind. Auf einem nicht gepatchten System könnte ein Angreifer Zerologon ausnutzen, um sich als Domänencontroller-Konto auszugeben und damit Domänenanmeldeinformationen zu stehlen und sogar die Kontrolle über die Domäne zu übernehmen. In einem Blogbeitrag forderte Aanchal Gupta, Vizepräsident für Technik beim Microsoft Security Response Center (MSRC), die Benutzer auf, das Sicherheitsupdate vom August anzuwenden, um ihre Systeme zu schützen, und sagte: Die Bereitstellung des 11. Sicherheitsupdates ab August 2020 auf jedem Domänencontroller ist am kritischsten erster Schritt zur Behebung dieser Schwachstelle. Bei vollständiger Implementierung werden der Active Directory-Domänencontroller und vertrauenswürdige Konten zusammen mit den Computerkonten geschützt, die zur Windows-Domäne gehören. Wir empfehlen jedem, der das Update noch nicht installiert hat, dringend, diesen Schritt jetzt zu unternehmen. Kunden sollten das Update installieren und die Originalanweisungen in KB4557222 befolgen, um sicherzustellen, dass sie vollständig vor dieser Sicherheitslücke geschützt sind.
Schutz von Geräten vor Zerologon
Da bei einigen von Zerologon betroffenen Geräten Authentifizierungsprobleme aufgetreten sind, implementiert Microsoft eine zweistufige Behebung des Fehlers. Gleichzeitig hat das Unternehmen die FAQ in seiner Originaldokumentation aus Gründen der Klarheit aktualisiert, da einige Benutzer sie als verwirrend empfanden. Jetzt fordert Microsoft Benutzer auf, ihre Domänencontroller mit dem im August veröffentlichten Patch zu aktualisieren, durch Überwachung von Ereignisprotokollen herauszufinden, welche Geräte anfällige Verbindungen herstellen, sich mit nicht konformen Geräten zu befassen, die anfällige Verbindungen herstellen, und schließlich den Anwendungsmodus für die Verarbeitung zu aktivieren CVE-2020-1472. in Ihrer Umgebung. Organisationen, die Microsoft Defender for Identity (ehemals Azure Advanced Threat Protection) oder Microsoft 365 Defender (ehemals Microsoft Threat Protection) verwenden, können jeden Angreifer erkennen, der versucht, Zerologon gegen ihre Domänencontroller auszunutzen. Microsoft hat außerdem Kontakt mit der US-amerikanischen Agentur für Cybersicherheit und Infrastruktur (CISA) aufgenommen, die eine eigene Warnung herausgegeben hat, in der sie staatliche und lokale Behörden daran erinnert, die notwendigen Schritte zur Behebung dieser Schwachstelle zu unternehmen. Wenn Ihr Unternehmen eine Windows Server-Appliance betreibt, ist es jetzt an der Zeit, diese zu patchen, um nicht Opfer potenzieller Zerologon-Angriffe zu werden. Über BleepingComputer