24.09.2020

Kritische Sicherheitslücke in Windows: CVE-2020-1472

Sicherheitslücke in Windows: CVE-2020-1472 | Sicherheitsanfälligkeit in Windows-PC-Anmeldungen

Mit der Bekanntgabe der Sicherheitslücke CVE-2020-1472 in Windows möchten wir Sie darauf hinweisen, dass Ihr Handeln erforderlich ist! 

Was kann passieren?

Diese Sicherheitslücke kann ausgenutzt werden, um sich die Kontrolle über dafür anfällige Windows-Domänencontroller zu beschaffen. Dies kann ein Angreifer ausnutzen, sofern er über das Netzwerk Zugriff auf den Domänencontroller hat.

Somit kann er die Kontrolle über Ihre Domänencontroller erhalten und dort zum Domänenadministrator werden. Durch einen Fehler in der Methode, wie sich ein Windows-Computer unter bestimmten Bedingungen an der Windows-Domäne anmeldet, kann es dazu kommen, dass sich der Computer in einem von 256 Fällen mit einer Identität ausweist, die lediglich aus acht Nullen besteht. In diesem Fall erwartet Ihre Domäne ebenfalls eine Identität von acht Nullen als Nachweis, dass der PC tatsächlich der ist, für den er sich ausgibt. Somit kann ein Angreifer sich so lange mit acht Nullen als Identität ausweisen, bis die Anmeldung klappt. Diese 256 Versuche durchzutesten, entspricht etwa einer Angriffsdauer von drei Sekunden. Sobald diese Hürde überwunden ist, kann der Nachweis dazu verwendet werden, sich die Kontrolle über den jeweiligen Computer inklusive Windows-Passwörtern zu sichern.
Sollte dies ein Domänencontroller sein, so ist Ihr Geschäftsbetrieb ernsthaft gefährdet.

Die genaue Funktionsweise der Sicherheitslücke wurde in diesem Whitepaper der Firma beschrieben, die die Sicherheitslücke entdeckt hat:
www.secura.com/pathtoimg.php?id=2055

Was können Sie tun?

Zum Schutz hat Microsoft bereits im August einen Patch veröffentlicht, der die entsprechenden Systeme gegen diesen Angriff sichert.

Am 21. Februar hat Microsoft einen weiteren Patch veröffentlicht, der die Sicherheit dieser Anmeldefunktion nachhaltig erhöht.

Um sicherzustellen, dass der Patch für diese Sicherheitslücke bei Ihnen installiert ist, prüfen Sie bitte, ob die hier beschriebenen Updates bei Ihnen vorhanden sind: portal.msrc.microsoft.com/de-DE/security-guidance/advisory/CVE-2020-1472

Nachdem dieses Update auf Ihren Systemen eingespielt worden ist, erhalten Sie im Eventlog Ihres Domänenontrollers den Hinweis auf Computer, die eventuell mit der erhöhten Sicherheit des Februar-Updates Probleme bei der Authentifizierung haben. Wir empfehlen, diese Eventlog-Einträge in Ihr Monitoring aufzunehmen und diese regelmäßig zu prüfen.

    Sie brauchen Unterstützung?

    Wir sind jederzeit für Sie da, um Sie bei der technischen Umsetzung oder Prüfung zu unterstützen!

    Wenn Sie Fragen haben oder Unterstützung benötigen, können Sie sich gerne an meine Kollegen unter support@netlogix.de oder direkt an mich wenden. Wir helfen wie immer gerne so schnell wir können!

    Philipp Ebertz
    Consultant

    Unsere Blogs