Microsoft warnt vor laufenden Angriffen mit Windows Zerologon-Fehlern
Das Threat Intelligence Center von Microsoft warnt vor einem Angriff, der durch die Ausnutzung einer kritischen Sicherheitslücke mit dem CVE-2020-1472-Rating 10/10 verursacht werden könnte.
Nach Angaben des Unternehmens wurden die anhaltenden Angriffe in den letzten zwei Wochen mehrfach beobachtet. Die von Iran unterstützte MuddyWater-Cyberspionagegruppe startete solche Angreifer mithilfe von ZeroLogon-Exploits.
“MSTIC hat in den letzten zwei Wochen in aktiven Kampagnen Aktivitäten des nationalstaatlichen Akteurs MERCURY beobachtet, der den Exploit CVE-2020-1472 (ZeroLogon) verwendet. Wir empfehlen dringend, Patches zu erstellen.”
Eine ähnliche Warnung wurde auch vom Unternehmen im vergangenen Monat am 23. September veröffentlicht, als es den IT-Administrator aufforderte, im Rahmen des Patches vom August 2020 am Dienstag Sicherheitsupdates anzuwenden, um sich gegen Angriffe mit öffentlichen ZeroLogon-Exploits zu verteidigen.
ZeroLogon ist eine kritische Sicherheitslücke, mit der Angreifer die Berechtigungen eines Domänenadministrators erhöhen können. Bei erfolgreicher Ausnutzung können sie die vollständige Kontrolle über die Domäne übernehmen, das Kennwort eines Benutzers ändern und einen beliebigen Befehl ausführen.
Eine Woche später warnte Cisco Talos ebenfalls: “Ein Anstieg der Ausnutzungsversuche gegen die Microsoft-Sicherheitsanfälligkeit CVE-2020-1472, ein Fehler bei der Erhöhung von Berechtigungen in Netlogon.”
Microsoft führt das Update für ZeroLogon in zwei Schritten ein, da es bei einigen betroffenen Geräten zu Authentifizierungsproblemen kommen kann.
Die erste Version, die am 11. August veröffentlicht wurde, blockiert die Verwendung von ungesicherter RPC-Kommunikation durch Windows Active Directory-Domänencontroller und protokolliert Authentifizierungsanforderungen von Nicht-Windows-Geräten, die keine RPC-Kanäle sichern, damit der Administrator betroffene Geräte reparieren oder ersetzen kann.
Microsoft wird ein weiteres Update veröffentlichen, beginnend mit dem Patch Tuesday-Update vom Februar 2021, um den Durchsetzungsmodus zu aktivieren, bei dem alle Netzwerkgeräte sicheren RPC verwenden müssen, sofern der Administrator dies nicht zulässt.
Das Unternehmen hat am 29. September die Schritte zum Schutz der Geräte vor den laufenden Angriffen mithilfe von ZeroLogon-Exploits klargestellt. Zu diesem Zeitpunkt skizzierte Microsoft den Update-Plan:
- Aktualisieren Sie die Domänencontroller auf das veröffentlichte Update vom 11. August 2020 oder höher
- Finden Sie heraus, welche Geräte mit anfälliger Verbindung vorhanden sind, indem Sie Ereignisprotokolle überwachen
- Nicht konforme Geräte ansprechen,
- Aktivieren Sie den Durchsetzungsmodus für CVE-2020-1472