Durch das Fälschen eines Authentifizierungstokens für bestimmte Netlogon-Funktionen kann eine Funktion aufgerufen werden, mit der das Computerkennwort des Domänencontrollers auf einen bekannten Wert festgelegt wird (z. B. auf ein leeres Password). Angreifer können dieses neue Kennwort anschließend verwenden, um die Kontrolle über den Domänencontroller zu übernehmen und Anmeldeinformationen eines Domänenadministrators zu stehlen. Die Sicherheitsanfälligkeit beruht auf einem Fehler in einem kryptografischen Authentifizierungsschema, das von dem Netlogon Remote Protocol (MS-NRPC) verwendet wird und unter anderem zum Aktualisieren von Computerkennwörtern verwendet werden kann. Dieser Fehler ermöglicht es Angreifern, sich als Computer auszugeben, einschließlich des Domänencontrollers selbst. In dem Kontext können dann Remoteprozeduraufrufe ausgeführt werden, um Zugriff auf Unternehmensnetzwerke zu erhalten.
Die von dem Sicherheitsexperten Tom Tervoort von Secura entdeckten Schwachstelle wird bereits aktiv ausgenutzt und es sind zahlreiche PoCs, z. B. auf Github, vorhanden. Microsoft schließt die Lücke mit dem August-Update NICHT automatisch ohne weitere manuelle Schritte. Ohne Zutun des Benutzers wird dies erst mit einem weiteren Update im Februar 2021 gewährleistet. Wir empfehlen allen Kunden deshalb dringend, die neuesten Updates sofort zu installieren.
Folgende Windows Server-Versionen mit installiertem Active Directory sind betroffen: Windows Server 2019, Windows Server 2016, Windows Server Build 1909, Windows Server Build 1903, Windows Server Build 1809, Windows Server 2012 R2, Windows Server 2012 und Windows Server 2008 R2 Service Pack 1.
Manuelle Schritte:
- Windows Update vom 11.08.2020 oder neuer auf allen Domänen Controllern (auch RODCs) installieren. Dieses ermöglicht die Protokollierung von Clients, die das unsichere Netlogon-Protokoll (MS-NRPC) verwenden und erzwingt die sichere Variante. Windows nutzt die sichere Variante per Default, wenn es nicht per GPO angepasst wurde. Mit dem Update werden u. a. neue Event-IDs hinzugefügt, mit denen Zugriffe über MS-NRPC protokolliert werden können (Event 5829).
- Überprüfen, ob Event 5829 im Eventlog gelistet wird. Hierbei handelt es sich um Clients, die sich noch mit unsicherem Protokoll verbinden (u. a. nicht-Windows-Geräte).
- Wenn keine Events mehr sichtbar sind, oder die gelisteten Clients unwichtig sind, kann die „FullSecureChannelProtection“ (Secure MS-NRPC) manuell aktiviert und die Ausnutzung somit bereits vor dem MS Update im Februar 2021 verhindern werden.
- Den Registrierungsschlüssel „FullSecureChannelProtection“ vom Typ “REG_DWORD“ in dem Pfad “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters” erstellen und auf den Wert „1“ setzen
Weiterführende Informationen finden Sie außerdem hier: