Jump to content

CVE-2020-1472 | Netlogon Elevation of Privilege Vulnerability


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Am 22.9.2020 um 12:49 schrieb zahni:

Was ich noch nicht ganz verstanden habe: Ist man nach dem Update nun geschützt oder erst nach dem "Enforcen"?

 

Am 22.9.2020 um 13:21 schrieb NorbertFe:

Aktuell musst du zwingend den Registry Wert setzen um damit das wirkt.

Das ist nach meinem Verständnis nicht so. Der Angriff läuft in fünf Schritten ab. Erstens werden die Anmeldeinformationen ermittelt. Wobei ermitteln hier nicht stimmt, weil diese nicht ermittelt werden. Man täuscht (spooft) vor die Anmeldeinformationen zu haben. So kann man sich dann wie ein Computer anmelden. Zweitens wird dann die Transportverschlüsselung der aufzubauenden Verbindung einfach abgeschaltet. Das ist kein Hack, weil Windows das schlicht erlaubt. Das ist notwendig, ohne den immer noch unbekannten Sessionkey könnte man keine verschlüsselte Verbindung aufbauen, deswegen abschalten. Die restlichen Schritte sparen wir uns hier, die sind für das Verstehen des Patch nicht relevant. Der Patch erzwingt nun Secure NRPC für alle Windows Server und Clients. Da der Sessionkey unbekannt ist, kann in Schritt zwei keine Verbindung aufgebaut werden. Außerdem wird auch Schritt eins des Hack unterbunden. Der Entdecker der Schwachstelle schreibt, dass Schritt eins mit Bruteforcing evtl. irgendwie noch funktionieren könnte, geschafft hat er es nicht. Daraus ergeben sich nun zwei Szenarien.

 

1)

Für Windows Systeme die einen Patch erhalten haben ist die Gefahr gebannt. Domäne übernehmen geht nicht mehr.

2)

Legacy Systeme und Drittanbieter-Geräte (NAS etc.) können noch immer unverschlüsselte Verbindungen aufbauen. Für diese Geräte wird Secure NRPC nicht durchgesetzt. Wenn es jetzt jemand schafft Schritt eins des Hacks wieder erfolgreich umzusetzen, können diese Geräte z. B. aus der Domäne ausgesperrt werden, weil das Computerkontopasswort im AD geändert werden könnte. Außerdem ist durch evtl. erfolgreiches Anwenden von CVE-2019-1424 per man-in-the-middle Zugriff auf das Legacy / Drittanbieter-Gerät möglich. Das ist noch immer uncool, aber lange nicht mehr so cool wie eine Domäne zu übernehmen und würde wohl auch keinen Score von 10 erhalten. Das in den KB-Artikeln beschriebene Enforcement, das ab Februar zwingend gilt, zielt auf diese Systeme. Um dieses Enforcement schon jetzt für diese Geräte zu aktivieren gibt es diesen Registrykey.

 

Grüße

  • Like 1
  • Danke 2
Link zu diesem Kommentar
vor 2 Minuten schrieb NorbertFe:

Ja war etwas zu flapsig formuliert. Solange der registry wert nicht gesetzt ist besteht auf jedem nicht gepatchtem System die Lücke und damit die Möglichkeit im ad schaden anzurichten. Siehe dein Punkt 2.

So verstehe ich den Text auch. Und das finde ich bei so einem Bug eigentlich bedenklich. Hätte da eher die anderen ins Messer laufen lassen und diese dann die Flags setzen lassen das es Ausnahmen geben kann wenn schon Exploits im freien Markt existieren.

Link zu diesem Kommentar

Es ist eine Gratwanderung: würden "Legacy-Systeme" automatisch ausgesperrt, gäbe das ein Drama ("Seit dem letzten Update funktioniert mein NAS nicht mehr!") und "Nebenbei-Admins" würden noch weniger Updates installieren als jetzt schon. Microsoft scheint dieses Risiko als grösser einzuschätzen als die Gefahr, die durch übernommene Computerkonten einhergeht. Zumal man damit ja nicht mehr die Domäne übernehmen kann (ausser vielleicht, man hat betreibt einen Samba als DC).

 

Was mich noch interessieren würde: es besteht die Möglichkeit, dass der Exploit schon lange bekannt war und im "Untergrund" gehandelt wurde. Haben Firmen mit kritischen Infrastrukturen Prozesse, um ihre Systeme bei Bekanntwerden solcher Lücken zu prüfen? Wird die AD-Datenbank offline auf merkwürdige Benutzer untersucht? Das Passwort vom KRBTGT-Account zurückgesetzt?

Link zu diesem Kommentar
  • 4 Wochen später...

Hi,

 

gestern Abend hat Microsoft im MSRC Blog ein "To-Do" veröffentlicht: https://msrc-blog.microsoft.com/2020/10/29/attacks-exploiting-netlogon-vulnerability-cve-2020-1472/

Zitat
  • UPDATE your Domain Controllers with an update released August 11, 2020 or later.
  • FIND which devices are making vulnerable connections by monitoring event logs.
  • ADDRESS non-compliant devices making vulnerable connections.
  • ENABLE enforcement mode to address CVE-2020-1472 in your environment.

Der Im ersten Post verlinkte KB (https://support.microsoft.com/en-us/help/4557222/how-to-manage-the-changes-in-netlogon-secure-channel-connections-assoc) wurde ebenfalls mit dem "To-Do" geupdated.

 

Gruß

Jan

Link zu diesem Kommentar
  • 2 Monate später...

Hi,

 

ein kleiner Reminder damit der 09. Februar 2021 nicht "urplötzlich" und "unangekündigt" vor der Türe steht: Netlogon Domain Controller Enforcement Mode is enabled by default beginning with the February 9, 2021 Security Update, related to CVE-2020-1472 – Microsoft Security Response Center

Zitat

Netlogon Domain Controller Enforcement Mode is enabled by default beginning with the February 9, 2021 Security Update, related to CVE-2020-1472

 

Gruß

Jan

  • Like 1
  • Danke 2
Link zu diesem Kommentar
  • 2 Wochen später...
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...