Wenn du das hast Windows Server-System in Ihrer Organisation, sollten Sie es so schnell wie möglich mit den neuesten Patches von aktualisieren Microsoft. In diesem Windows Server-Betriebssystem wurde von Version 2008 bis zu den neuesten verfügbaren Versionen eine kritische Sicherheitsanfälligkeit entdeckt, die sich auf jede einzelne Microsoft-Version auswirkt. Diese Sicherheitsanfälligkeit hat eine Kritikalität von 10.0. Darüber hinaus gibt es bereits PoCs, mit denen diese Sicherheitsanfälligkeit problemlos ausgenutzt werden kann.
Von Zerologon betroffene Versionen von Microsoft Windows Server
Die Sicherheitsanfälligkeit namens Zerologon wurde im vergangenen August von Microsoft in seinem Security Bulletin behoben. Jetzt wurde sie veröffentlicht, um Sysadmins angemessene Zeit für die Installation dieser Patches zu geben und zu überprüfen, ob alles ordnungsgemäß funktioniert. Microsoft hat eine veröffentlicht Sicherheitsberatung am 11. August 2020 zur Bestätigung der in allen Windows-Versionen entdeckten Sicherheitsanfälligkeit:
- Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1
- Windows Server 2012
- Windows Server 2012 (Server Core-Installation)
- Windows Server 2012 R2
- Windows Server 2012 R2 (Server Core-Installation)
- Windows Server 2016
- Windows Server 2016 (Server Core-Installation)
- Windows Server 2019
- Windows Server 2019 (Server Core-Installation)
- Windows Server, Version 1903 (Server Core-Installation)
- Windows Server, Version 1909 (Server Core-Installation)
- Windows Server, Version 2004 (Server Core-Installation)
Was ist diese kritische Sicherheitslücke?
Diese Sicherheitsanfälligkeit, die als kritisch 10/10 eingestuft wird, wirkt sich direkt auf Domänencontroller (DC) in aktiven Verzeichnissen (AD) aus. Aufgrund eines Fehlers bei der nicht ordnungsgemäßen Implementierung von AES-CFB8 im Netlogon-Protokoll konnte ein Angreifer ohne weitere Anforderungen ein neues Kennwort festlegen, um die vollständige Kontrolle über den Domänencontroller zu übernehmen und die Administratoranmeldeinformationen zu erhalten. Der Fehler befindet sich im anfänglichen Authentifizierungs-Handshake, da die Authentifizierung im Allgemeinen umgangen wird. Daher muss ein Angreifer nur eine TCP-Verbindung mit einem anfälligen Domänencontroller herstellen. Nur wenn er sich im lokalen Netzwerk befindet, reicht es aus, diesen Fehler auszunutzen Es sind keine Domain-Anmeldeinformationen erforderlich.
Aufgrund dieses Fehlers in der AES-Implementierung können Sie die vollständige Kontrolle über den Domänencontroller erlangen und ein leeres Kennwort für die Domäne festlegen. Aufgrund der fehlenden Authentifizierung bei der Ausnutzung dieser Sicherheitslücke wurde diese Sicherheitsanfälligkeit als "Zerologon" bezeichnet.
Die Gruppe der Sicherheitsforscher hat a Proof of Concept (PoC) Hier können Sie diese Sicherheitsanfälligkeit ausnutzen und prüfen, ob ein Betriebssystem gegen diese Sicherheitslücke gepatcht ist oder noch nicht. Gemäß der CVSSv3-Skala hat diese Sicherheitslücke eine maximale Kritikalität von 10.0, da wir lediglich eine „Sichtbarkeit“ des Domänencontrollers benötigen, sodass es ausreichend ist, sich innerhalb des Netzwerks zu befinden.
Wie kann ich diese Sicherheitsanfälligkeit auf meinem Windows Server beheben?
Um diese Sicherheitsanfälligkeit zu beheben, müssen Sie alle AD-Domänencontroller (Active Directory) Ihrer Organisation aktualisieren Besuchen Sie den direkten Link zum Zerologon-Patch Wird von Microsoft selbst bereitgestellt, wo angegeben wird, dass die Sicherheitsanfälligkeit kritisch ist und empfohlen wird, sie so bald wie möglich zu installieren. Es ist wichtig, die Betriebssysteme so schnell wie möglich zu patchen, um die Ausnutzung dieser Sicherheitsanfälligkeit durch böswillige Benutzer zu vermeiden. Darüber hinaus hat Microsoft a veröffentlicht Tutorial, mit dem sysadmin seine Systeme aktualisieren und das System korrekt konfigurieren kann .
Wir empfehlen dir das Greifen Sie auf das PDF-Dokument zur Sicherheitsanfälligkeit Zerologon zu Hier erfahren Sie ausführlich, wie diese schwerwiegende Sicherheitslücke funktioniert.
