Wenn es jemals einen Zeitpunkt gab, an dem Sie die Sicherheit Ihres Active Directory überprüfen sollten, dann ist es jetzt.
Als Reaktion auf die wachsende Besorgnis über die berüchtigte Zerologon-Schwachstelle (CVE-2020-1472) hat die US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) eine "Notfallanweisung" an Bundesbehörden herausgegeben, den Patch von Microsoft sofort anzuwenden. Unternehmen wären gut beraten, diesem Beispiel zu folgen.
"Zerologon": Schwere Sicherheitslücke durch Privilegienerweiterung
In der vergangenen Woche ist im Internet ein Exploit-Code für die schwerwiegende Sicherheitslücke "Zerologon" aufgetaucht, die eine Ausweitung der Privilegien ermöglicht. Die Sicherheitslücke befindet sich im Netlogon Remote Protocol. Durch das Senden einer Reihe von Netlogon-Nachrichten, in denen verschiedene Felder mit Nullen gefüllt sind, kann der Angreifer das Kennwort für den im AD gespeicherten Domain Controller (DC) ändern. Der Angriff ermöglicht es jedem Angreifer im lokalen Netzwerk, seine Privilegien zu erhöhen und die Windows-Domäne ohne Benutzeranmeldeinformationen zu kompromittieren. Mit Zerologon können Angreifer die Domänenadministrator-Anmeldeinformationen stehlen und das ursprüngliche Kennwort für den Domänencontroller wiederherstellen, was alle Arten von Angriffen ermöglicht, von Ransomware bis hin zu Datendiebstahl.
Der von Secura-Forschern entdeckte Fehler hat einen CVSS-Score von 10 von 10, der höchsten Einstufung. Mehrere Proof-of-Concept-Exploits für Zerologon wurden bereits in freier Wildbahn veröffentlicht. Zerologon wurde auch in einer aktualisierten Version des Mimikatz-Tools implementiert.
Haben Sie schon gepatcht?
Da immer mehr Exploits im Umlauf sind, ist der Druck groß, so schnell wie möglich Patches bereitzustellen. Dieses Problem wird in zwei Teilen angegangen. Im August veröffentlichte Microsoft ein Sicherheitsupdate, das das Netlogon-Protokoll so ändert, dass Windows-Geräte standardmäßig geschützt werden, Ereignisse für die Erkennung nicht konformer Geräte protokolliert werden und der Schutz für alle domänenverbundenen Geräte mit ausdrücklichen Ausnahmen aktiviert wird. Ein zweites Update ist für das erste Quartal 2021 geplant. Es wird die sichere Verwendung von Remote Procedure Calls (RPC) für Maschinenkonten auf nicht-Windows-basierten Systemen erzwingen, es sei denn, der "Domain Controller" erlaubt dies: Anfällige Netlogon Secure Channel-Verbindungen zulassen" erlaubt.
Es ist zu beachten, dass gepatchte DCs nach der Installation des August-Updates die Ereignis-ID 5829 im Systemereignisprotokoll protokollieren, wenn eine anfällige Netlogon-Verbindung über einen sicheren Kanal zugelassen wird. Microsoft rät Unternehmen, diese Ereignisse zu beheben, bevor der DC-Erzwingungsmodus konfiguriert wird oder vor dem Update 2021, um Ausfälle zu vermeiden. Es ist außerdem wichtig, dass alle DCs, auch die mit Lesezugriff, aktualisiert werden. Der Patching-Prozess ist nicht immer einfach und wird aufgrund der großen Anzahl von Anwendungen und Systemen in IT-Umgebungen und der allgemeinen Angst vor Betriebsunterbrechungen oft verzögert. Dennoch sollte jede Organisation, die Active Directory einsetzt, jetzt damit beginnen, anfällige Systeme zu identifizieren und dem Patching Priorität einzuräumen.
Seien Sie auf einen Zustrom neuer Angriffe auf Active Directory vorbereitet
Nachdem Sie rigoros gepatcht haben, ist es nun an der Zeit, den Zustrom neuer Angriffe auf Active Directory zur Kenntnis zu nehmen. Erkennen Sie Ihre Schwachstellen und konzentrieren Sie sich auf die Absicherung von AD. Schwachstellen- und Konfigurationsbewertungen sind ein wichtiger Bestandteil, um Angreifern, die es auf AD abgesehen haben, das Handwerk zu legen. Auch die kontinuierliche Überwachung von AD-Änderungen, die die Sicherheitsprotokolle umgehen, und die Ermöglichung eines autonomen Rollbacks verdächtiger Änderungen, die zu riskant sind, um auf ein menschliches Eingreifen zu warten, stoppen laterale Bewegungen und fortgeschrittene anhaltende Bedrohungen. Automatisierte Überwachung, Schwachstellenbewertung und -beseitigung sind wichtige Bestandteile, um Ihre AD-Umgebung sicher zu halten.
Im Falle einer Cyberkatastrophe können regelmäßige Backups und die Offline-Speicherung von Kopien den Unterschied zwischen einem kurzen Ausfall und einer längeren Ausfallzeit ausmachen, wenn AD kompromittiert wird. Andernfalls können Backups, auf die über das Netzwerk zugegriffen werden kann, leicht zerstört werden und die Chancen auf eine Entschädigung durch das Opfer erhöhen. Unternehmen sollten immer über genügend Backups verfügen, um eine vollständige Wiederherstellung einer Gesamtstruktur durchzuführen. Schließlich sollten Sie bei der Wiederherstellung nach einem Cyberangriff Bare-Metal- und Systemstatus-Wiederherstellungen vermeiden, da diese Ansätze schwerwiegende Probleme mit sich bringen, einschließlich der wahrscheinlichen Möglichkeit einer erneuten Malware-Infektion.
Wie Zerologon zeigt, ist es für Unternehmen an der Zeit, die Sicherheitslage von Active Directory unter die Lupe zu nehmen. Ein motivierter Angreifer wird immer einen Weg finden, auf die eine oder andere Weise einzudringen. Lassen Sie AD nicht zu einem weichen Ziel werden.
