Wenn es jemals einen Zeitpunkt gab, an dem Sie die Sicherheit Ihres Active Directory überprüfen sollten, dann ist es jetzt.
Als Reaktion auf die wachsende Besorgnis über die berüchtigte Zerologon-Schwachstelle (CVE-2020-1472) hat die US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) eine "Notfallanweisung" an Bundesbehörden herausgegeben, den Patch von Microsoft sofort anzuwenden. Unternehmen wären gut beraten, diesem Beispiel zu folgen.
"Zerologon": Schwere Sicherheitslücke durch Privilegienerweiterung
In der vergangenen Woche ist im Internet Exploit-Code für die schwerwiegende Sicherheitslücke zur Rechteausweitung aufgetaucht, die als „Zerologon“ bezeichnet wird. Die Sicherheitslücke liegt im Netlogon-Remote-Protokoll. Durch das Senden einer Reihe von Netlogon-Nachrichten, bei denen verschiedene Felder mit Nullen gefüllt sind, kann der Angreifer das in Active Directory (AD) gespeicherte Passwort für den domain controller DC) ändern. Im Endeffekt ermöglicht der Angriff jedem Angreifer im lokalen Netzwerk, seine Rechte zu erweitern und die Windows-Domäne ohne jegliche Benutzeranmeldedaten zu kompromittieren. Mit Zerologon können Angreifer die Anmeldedaten des Domänenadministrators stehlen und das ursprüngliche domain controller wiederherstellen, was Angriffe aller Art – von Ransomware bis hin zum Datendiebstahl – erleichtert.
Der von Secura-Forschern entdeckte Fehler hat einen CVSS-Score von 10 von 10, der höchsten Einstufung. Mehrere Proof-of-Concept-Exploits für Zerologon wurden bereits in freier Wildbahn veröffentlicht. Zerologon wurde auch in einer aktualisierten Version des Mimikatz-Tools implementiert.
Haben Sie schon gepatcht?
Da derzeit Exploits im Umlauf sind, besteht dringender Handlungsbedarf, um so schnell wie möglich Patches zu installieren. Dieses Problem wird in zwei Schritten angegangen. Im August veröffentlichte Microsoft einSicherheitsupdate, das das Netlogon-Protokoll so ändert, dass Windows-Geräte standardmäßig geschützt werden, Ereignisse bei der Erkennung nicht konformer Geräte protokolliert werden und der Schutz für alle domänengebundenen Geräte mit expliziten Ausnahmen aktiviert wird. Ein zweites Update ist für das erste Quartal 2021 geplant. Es wird die sichere Nutzung von Remote Procedure Call (RPC) für Maschinenkonten auf nicht Windows-basierten Systemen erzwingen, sofern dies nicht durch die policyDomain controller: Anfällige Netlogon-Verbindungen über den sicheren Kanal zulassen“ gestattet ist.
Es ist zu beachten, dass gepatchte DCs nach der Installation des August-Updates die Ereignis-ID 5829 im Systemereignisprotokoll protokollieren, wenn eine anfällige Netlogon-Verbindung über einen sicheren Kanal zugelassen wird. Microsoft rät Unternehmen, diese Ereignisse zu beheben, bevor der DC-Erzwingungsmodus konfiguriert wird oder vor dem Update 2021, um Ausfälle zu vermeiden. Es ist außerdem wichtig, dass alle DCs, auch die mit Lesezugriff, aktualisiert werden. Der Patching-Prozess ist nicht immer einfach und wird aufgrund der großen Anzahl von Anwendungen und Systemen in IT-Umgebungen und der allgemeinen Angst vor Betriebsunterbrechungen oft verzögert. Dennoch sollte jede Organisation, die Active Directory einsetzt, jetzt damit beginnen, anfällige Systeme zu identifizieren und dem Patching Priorität einzuräumen.
Seien Sie auf einen Zustrom neuer Angriffe auf Active Directory vorbereitet
Nachdem Sie rigoros gepatcht haben, ist es nun an der Zeit, den Zustrom neuer Angriffe auf Active Directory zur Kenntnis zu nehmen. Erkennen Sie Ihre Schwachstellen und konzentrieren Sie sich auf die Absicherung von AD. Schwachstellen- und Konfigurationsbewertungen sind ein wichtiger Bestandteil, um Angreifern, die es auf AD abgesehen haben, das Handwerk zu legen. Auch die kontinuierliche Überwachung von AD-Änderungen, die die Sicherheitsprotokolle umgehen, und die Ermöglichung eines autonomen Rollbacks verdächtiger Änderungen, die zu riskant sind, um auf ein menschliches Eingreifen zu warten, stoppen laterale Bewegungen und fortgeschrittene anhaltende Bedrohungen. Automatisierte Überwachung, Schwachstellenbewertung und -beseitigung sind wichtige Bestandteile, um Ihre AD-Umgebung sicher zu halten.
Im Falle einer Cyberkatastrophe können regelmäßige Backups und die Offline-Speicherung von Kopien den Unterschied zwischen einem kurzen Ausfall und einer längeren Ausfallzeit ausmachen, wenn AD kompromittiert wird. Andernfalls können Backups, auf die über das Netzwerk zugegriffen werden kann, leicht zerstört werden und die Chancen auf eine Entschädigung durch das Opfer erhöhen. Unternehmen sollten immer über genügend Backups verfügen, um eine vollständige Wiederherstellung einer Gesamtstruktur durchzuführen. Schließlich sollten Sie bei der Wiederherstellung nach einem Cyberangriff Bare-Metal- und Systemstatus-Wiederherstellungen vermeiden, da diese Ansätze schwerwiegende Probleme mit sich bringen, einschließlich der wahrscheinlichen Möglichkeit einer erneuten Malware-Infektion.
Wie Zerologon zeigt, ist es für Unternehmen an der Zeit, die Sicherheitslage von Active Directory unter die Lupe zu nehmen. Ein motivierter Angreifer wird immer einen Weg finden, auf die eine oder andere Weise einzudringen. Lassen Sie AD nicht zu einem weichen Ziel werden.
