Zum vorletzten Patch Tuesday im August 2020 hatte Microsoft unter anderem die als kritisch eingestufte Sicherheitslücke CVE-2020-1472 (CVSS-Höchstwertung 10.0) in mehreren Windows Server-Versionen geschlossen. Jetzt haben Forscher funktionierenden Exploit-Code für CVE-2020-1472 entwickelt. Mit ihm könnte sich ein Angreifer, der sich im lokalen (Unternehmens-)Netzwerk befindet, als Domänen-Administrator anmelden – und zwar komplett ohne vorherige Kenntnis gültiger Zugangsdaten. Admins, die die Updates von August noch nicht eingespielt haben, sollten dies schleunigst nachholen. Eine Liste der betroffenen Windows Server-Versionen sowie Links zu den Aktualisierungen sind Microsofts Security Advisory zu entnehmen. Überdies hat Microsoft zum Patchday ein Dokument mit weiteren Informationen zum Update veröffentlicht, da dieses in eine "Erstbereitstellungs-" und eine "Erzwingungsphase" unterteilt wurde. Bei frühzeitigem Einspielen müssen möglicherweise zusätzliche Registry-Anpassungen vorgenommen werden. Exploit-Code öffentlich verfügbar Technische Details verrät ein Blogeintrag des Unternehmens Secura, das CVE-2020-1472 entdeckt hat. Demnach basiert die Lücke auf einem kryptografischen Implementierungsfehler im Netlogon Remote Protocol (MS-NRPC). Ein Angreifer könnte ihn ausnutzen, um im Anschluss an einen Verbindungsaufbau das Passwort des entfernten, verwundbaren Domänencontrollers beliebig zu ändern. Secura hat ein ausführliches Whitepaper zum "Zerologon"-Exploit veröffentlicht – außerdem ein Zerologon Testing Script, mit dem Domänencontroller auf ihre Verwundbarkeit getestet werden können. Auf die Veröffentlichung von Proof-of-Concept-Code hat Secura bewusst verzichtet. Allerdings haben sich auf Basis der Vorarbeit von Secura mehrere andere Forscher und Firmen in den letzten Stunden dieser Aufgabe gewidmet und ihren Code bei GitHub veröffentlicht. Somit hätten potenzielle Angreifer ausreichend vorgefertigtes Werkzeug zur Hand. (ovw) Zur Startseite Update seit August verfügbar: Forscher coden Exploits für Windows Server-Lücke
- Details
- Heise RSS Feed
- Hauptkategorie: IT News aus aller Welt
- Kategorie: Sicherheitsinfos
Zum vorletzten Patch Tuesday im August 2020 hatte Microsoft unter anderem die als kritisch eingestufte Sicherheitslücke CVE-2020-1472 (CVSS-Höchstwertung 10.0) in mehreren Windows Server-Versionen geschlossen. Jetzt haben Forscher funktionierenden Exploit-Code für CVE-2020-1472 entwickelt. Mit ihm könnte sich ein Angreifer, der sich im lokalen (Unternehmens-)Netzwerk befindet, als Domänen-Administrator anmelden – und zwar komplett ohne vorherige Kenntnis gültiger Zugangsdaten. Admins, die die Updates von August noch nicht eingespielt haben, sollten dies schleunigst nachholen. Eine Liste der betroffenen Windows Server-Versionen sowie Links zu den Aktualisierungen sind Microsofts Security Advisory zu entnehmen. Überdies hat Microsoft zum Patchday ein Dokument mit weiteren Informationen zum Update veröffentlicht, da dieses in eine "Erstbereitstellungs-" und eine "Erzwingungsphase" unterteilt wurde. Bei frühzeitigem Einspielen müssen möglicherweise zusätzliche Registry-Anpassungen vorgenommen werden. Exploit-Code öffentlich verfügbar Technische Details verrät ein Blogeintrag des Unternehmens Secura, das CVE-2020-1472 entdeckt hat. Demnach basiert die Lücke auf einem kryptografischen Implementierungsfehler im Netlogon Remote Protocol (MS-NRPC). Ein Angreifer könnte ihn ausnutzen, um im Anschluss an einen Verbindungsaufbau das Passwort des entfernten, verwundbaren Domänencontrollers beliebig zu ändern. Secura hat ein ausführliches Whitepaper zum "Zerologon"-Exploit veröffentlicht – außerdem ein Zerologon Testing Script, mit dem Domänencontroller auf ihre Verwundbarkeit getestet werden können. Auf die Veröffentlichung von Proof-of-Concept-Code hat Secura bewusst verzichtet. Allerdings haben sich auf Basis der Vorarbeit von Secura mehrere andere Forscher und Firmen in den letzten Stunden dieser Aufgabe gewidmet und ihren Code bei GitHub veröffentlicht. Somit hätten potenzielle Angreifer ausreichend vorgefertigtes Werkzeug zur Hand. (ovw) Zur Startseite - Zugriffe: 263