testperson 1.862 Geschrieben 21. September 2020 Melden Geschrieben 21. September 2020 Hi, ist zwar aus August (https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1472), ist mir allerdings bis jetzt "durchgegangen" und wurde grade im heise Security RSS Feed nochmal veröffentlicht: https://www.heise.de/news/Zerologon-Luecke-in-Windows-Server-US-Regierung-hat-vier-Tage-Zeit-zum-Patchen-4906597.html Nach dem Patchen: https://support.microsoft.com/en-us/help/4557222/how-to-manage-the-changes-in-netlogon-secure-channel-connections-assoc Gruß Jan Zitat CVE-2020-1472 | Netlogon Elevation of Privilege Vulnerability Security Vulnerability Published: 08/11/2020 | Last Updated : 08/11/2020 MITRE CVE-2020-1472 An elevation of privilege vulnerability exists when an attacker establishes a vulnerable Netlogon secure channel connection to a domain controller, using the Netlogon Remote Protocol (MS-NRPC). An attacker who successfully exploited the vulnerability could run a specially crafted application on a device on the network. To exploit the vulnerability, an unauthenticated attacker would be required to use MS-NRPC to connect to a domain controller to obtain domain administrator access. Microsoft is addressing the vulnerability in a phased two-part rollout. These updates address the vulnerability by modifying how Netlogon handles the usage of Netlogon secure channels.
Weingeist 176 Geschrieben 21. September 2020 Melden Geschrieben 21. September 2020 Yep, Scheint extrem krass zu sein der Bug. Braucht angeblich 3 Sekunden für der Hack...
MurdocX 1.004 Geschrieben 21. September 2020 Melden Geschrieben 21. September 2020 ... um die gesamte Domäne zu übernehmen.
zahni 587 Geschrieben 22. September 2020 Melden Geschrieben 22. September 2020 Was ich noch nicht ganz verstanden habe: Ist man nach dem Update nun geschützt oder erst nach dem "Enforcen"? Ich konnte die beschrieben Events bei uns noch nicht feststellen.
NorbertFe 2.283 Geschrieben 22. September 2020 Melden Geschrieben 22. September 2020 (bearbeitet) vor 35 Minuten schrieb zahni: Ist man nach dem Update nun geschützt oder erst nach dem "Enforcen"? Aktuell musst du zwingend den Registry Wert setzen um damit das wirkt. Erst ab Februar (?) 2021 wird der Registrywert ignoriert und es ist immer aktiv und man kann nur noch mittels Exception arbeiten, wenn man Devices hat, die das nicht können. Kurz noch als Ergänzung das entsprechende Zitat: Zitat The February 9, 2021 release marks the transition into the enforcement phase. The DCs will now be in enforcement mode regardless of the enforcement mode registry key. This requires all Windows and non-Windows devices to use secure RPC with Netlogon secure channel or explicitly allow the account by adding an exception for the non-compliant device. bearbeitet 22. September 2020 von NorbertFe 1
zahni 587 Geschrieben 22. September 2020 Melden Geschrieben 22. September 2020 Danke. Dann werde ich noch 1-2 Tage den Eventlog der DCs beobachten und nach 5827-5831 Ausschau halten. Unsere Netapp ist jedenfalls wohl nicht betroffen.
Weingeist 176 Geschrieben 25. September 2020 Melden Geschrieben 25. September 2020 Mich wundert die Time-Line etwas. Exploit-Code ist doch bereits aufgetaucht oder? Klar wegen Drittanbieter Software ist es doof, aber sind die Voraussetzungen damit der Hack überhaupt durchgeführt werden kann relativ hoch oder nimmt man es einfach in Kauf?
NorbertFe 2.283 Geschrieben 25. September 2020 Melden Geschrieben 25. September 2020 Naja wieso? Die Timeline ist doch nur wichtig fürs Enforcement. Derjenige, den es kümmert, kann sofort etwas gegen diese Lücke tun. Diejenigen, die jetzt nichts tun, interessiert es eh nicht, oder sie machen es absichtlich nicht.
zahni 587 Geschrieben 25. September 2020 Melden Geschrieben 25. September 2020 Ich habe den Wert nun gesetzt und es ist nichts passiert. Lt. Doku funktioniert das ohne Reboot. Der Wert übrigens vom Update bereits eingetragen und mit 0 vorbelegt.
Weingeist 176 Geschrieben 25. September 2020 Melden Geschrieben 25. September 2020 Ich habe keine der Ereignisse mitgeschnitten... Hat das schon jemand?
MurdocX 1.004 Geschrieben 25. September 2020 Melden Geschrieben 25. September 2020 Bisher hab ich eine Events. NTLM-frei wäre schon eine schöne Sache für die Zukunft...
Kerberos_DLW 0 Geschrieben 30. September 2020 Melden Geschrieben 30. September 2020 Ist nach dem Patchen Anmeldungen von Win 7 Rechner noch möglich ?
zahni 587 Geschrieben 30. September 2020 Melden Geschrieben 30. September 2020 Das musst Du testen. Noch musst Du es ja manuell aktiveren. Vorher gibt es Event-Einträge (siehe weiter oben).
Weingeist 176 Geschrieben 30. September 2020 Melden Geschrieben 30. September 2020 Sollte kein Problem sein. Zumindest ist es hier keines.
daabm 1.431 Geschrieben 30. September 2020 Melden Geschrieben 30. September 2020 Am 25.9.2020 um 17:01 schrieb MurdocX: NTLM-frei wäre schon eine schöne Sache für die Zukunft... Versuchen wir grad. SCVMM - negativ. Cluster - negativ. SCCM - negativ. (Alles noch 2016 oder älter - ab 2019 soll es angeblich besser werden). "Dieser Weg wird kein leichter sein"... Das NTLM Operational Eventlog ist unser täglicher Begleiter.
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden