ZeroLogon – Patchen ist nicht genug

Richtlinien und Tools zum Schutz Ihrer Umwelt
aus CVE-2020-1472

By Yaron Kassner, CTO und Mitgründer, Silverfort

Secura veröffentlichte kürzlich a Whitepaper über eine der schlimmsten Schwachstellen, die ich seit einiger Zeit gesehen habe. Es heißt ZeroLogon, auch bekannt als CVE-2020-1472. Das DHS veröffentlichte auch eine Notfallrichtlinie um betroffene Windows-Server zu patchen. Und sie übertreiben nicht – die Schwachstelle ermöglicht es einem Angreifer, ein Domänenadministratorkonto zu erstellen, indem er einfach nicht authentifizierte Pakete an einen Domänencontroller sendet. Das bedeutet, dass Jeder im Netzwerk kann die gesamte Domain übernehmen.

Für diejenigen, die sich für die technischen Bits und Bytes interessieren, empfehle ich dringend, das Whitepaper zu lesen. Der beschriebene Angriff ist elegant und nutzt eine inhärente Schwachstelle im NRPC-Protokoll aus. Es stellte sich heraus, dass einige Leute so an diesem Angriff interessiert waren, dass sie einen entwickelten voll funktionsfähiger Exploit und auf GitHub veröffentlicht. Wenn Sie das Update also noch nicht bereitgestellt haben, hören Sie auf, diesen Artikel zu lesen, und führen Sie dies jetzt durch. Komm danach wieder.

Wie bei den meisten Sicherheitslücken veröffentlichte Microsoft eine beratend, zusammen mit einem Sicherheitsupdate. Während einige versucht sein könnten, das Update zu installieren und es zu vergessen, wird der aufmerksame Leser diesen Kommentar bemerken: „Microsoft geht diese Schwachstelle in einem schrittweisen Rollout an.“

Yap – das ist nicht gut. Ein schrittweiser Rollout bedeutet, dass Ihr System während der ersten Phase des Rollouts noch anfällig ist. In diesem Fall musste schrittweise vorgegangen werden, da die Schwachstelle dem NRPC-Protokoll inhärent ist. Der Patch verhindert den Angriff, indem er eine zusätzliche Sicherheitsebene über dem Protokoll erzwingt – das ist Secure RPC. Leider reicht es nicht aus, die Serverseite, also den DC, zu aktualisieren – denn auch die Clients müssen aktualisiert werden, damit das Protokoll funktioniert. Microsoft hat sich um Windows-Geräte gekümmert, aber keine Lösung für veraltete Betriebssysteme, die nicht mehr unterstützt werden, oder Produkte von Drittanbietern bereitgestellt. Dies bedeutet, dass das Erzwingen von Secure RPC diese inkompatiblen Systeme brechen wird.

In der ersten Phase erzwingt AD sicheres RPC für Windows-Geräte, wodurch die schlimmste Form des Angriffs verhindert werden kann. Andere Clients können jedoch weiterhin anfällig sein.

Wir haben ein einfaches Werkzeug das über die Domänencontroller in Ihrer Domäne iteriert und prüft, ob alle gepatcht sind. Das Tool basiert auf dem ursprünglichen von Secura veröffentlichten Testtool, aber anstatt auf jeweils einem DC zu laufen, findet es automatisch die DCs und läuft auf allen. Wir empfehlen Ihnen, dieses Tool auszuführen, um sicherzustellen, dass keiner der DCs in Ihrer Umgebung übersehen wurde – ein ungepatchter DC reicht aus, um die gesamte Domäne zu kompromittieren.

Laden Sie das Github-Testtool hier herunter

Übergang zu Phase zwei

In der zweiten Phase erzwingt AD sicheren RPC für alle Computer, einschließlich Nicht-Windows-Geräten. Die zweite Phase wird automatisch am 2. Februar durchgeführt, aber Sie können früher damit beginnen, und wir empfehlen Ihnen, dies zu tun. Dazu sollten Sie zunächst sicherstellen, dass Sie keine Clients im Netzwerk haben, die auf unsicheres RPC angewiesen sind. Microsoft stellt Überwachungsprotokolle bereit, um solche Clients zu erkennen und Silverfort kann auch helfen: Sie können Hebelwirkung ausüben Silverfort um einen Bericht vorzubereiten, der Clients auflistet, die nicht sicheres RPC verwenden. Wenn Sie nicht haben Silverfort, können Sie damit beginnen, die Ereignisprotokolle von Microsoft zu prüfen.

Was tun mit nicht sicheren RPC-Clients?

Hier ist meine Empfehlung. Legen Sie sie zunächst in „Domänencontroller: Gruppenrichtlinie für anfällige Netlogon-Verbindungen über sichere Kanäle zulassen. Dadurch werden diese Clients nicht gesichert, aber Sie können die restlichen Geräte jetzt in den Erzwingungsmodus versetzen, anstatt bis Februar 2021 zu warten.

Nachdem Sie die restlichen Geräte in den Erzwingungsmodus versetzt haben, sollten Sie sich um die nicht sicheren RPC-Clients kümmern. Lassen Sie sie nicht so wie sie sind! Sie sind verletzlich!

Wenn es sich bei diesen Geräten um Geräte von Drittanbietern handelt, sollten Sie sich an den Anbieter wenden und nach einer Lösung fragen, damit sie mit Secure RPC funktionieren.
Wenn Sie den Client aus irgendeinem Grund nicht mit Secure RPC zum Laufen bringen können, Silverfort kann helfen, es zu schützen – siehe unten mehr.

Wie kann Silverfort Hilfe, bis alle nicht sicheren RPC-Clients abgedeckt sind?

Silverfort überwacht und steuert den Netlogon-Verkehr im Netzwerk. Dies erlaubt Silverfort um alle Computer zu erkennen, die nicht sicheres RPC verwenden. Für diese Geräte Silverfort kann das Risiko erhöhen und zusätzliche Sicherheitsebenen bieten, wie z. B. die Erhöhung der Beglaubigung Anforderungen an oder von diesen Geräten.

Also Zusammenfassung der empfohlenen Schritte:

1. Aktualisieren Sie Ihre Domänencontroller
2. Benutzen SilverfortDas Open-Source-Tool von um zu sehen, ob noch DCs ungepatcht sind
3. Benutzen Silverfort oder Microsoft für die Überwachung von Clients, die nicht sicheres RPC verwenden
4. Setzen Sie nicht sichere RPC-Clients in die Zulassungsliste
5. Versetzen Sie die Domain so schnell wie möglich in den Erzwingungsmodus
6. Starten Sie einen Prozess, um nicht sichere RPC-Clients zu reparieren oder sie aus Ihrem Netzwerk zu entfernen
7. Verwenden Sie in der Zwischenzeit Silverfort um gefährdete Clients vor Ausbeutung zu schützen und ihre Nutzung einzuschränken.

Yaron Kassner, CTO und Mitgründer, Silverfort

SilverfortCTO und Mitbegründer von Yaron Kassner ist ein Experte für Cybersicherheit und Big-Data-Technologie. Vor der Mitgründung Silverfort, war Yaron als Experte für Big Data bei Cisco tätig. Außerdem entwickelte er bei Microsoft neue Funktionen für Big-Data-Analysen und maschinelle Lernalgorithmen. Davor diente Yaron bei der 8200-Elite-Cybereinheit der israelischen Verteidigungsstreitkräfte, wo er ein angesehenes Forschungs- und Entwicklungsteam leitete, in den Rang eines Hauptmanns aufstieg und eine prestigeträchtige Auszeichnung für herausragende Leistungen erhielt. Yaron hat einen B.Sc. in Mathematik, Summa Cum Laude, ein M.Sc. und Ph.D. in Informatik vom Technion – Israel Institute of Technology.