testperson 1.728 Geschrieben 21. September 2020 Melden Teilen Geschrieben 21. September 2020 Hi, ist zwar aus August (https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1472), ist mir allerdings bis jetzt "durchgegangen" und wurde grade im heise Security RSS Feed nochmal veröffentlicht: https://www.heise.de/news/Zerologon-Luecke-in-Windows-Server-US-Regierung-hat-vier-Tage-Zeit-zum-Patchen-4906597.html Nach dem Patchen: https://support.microsoft.com/en-us/help/4557222/how-to-manage-the-changes-in-netlogon-secure-channel-connections-assoc Gruß Jan Zitat CVE-2020-1472 | Netlogon Elevation of Privilege Vulnerability Security Vulnerability Published: 08/11/2020 | Last Updated : 08/11/2020 MITRE CVE-2020-1472 An elevation of privilege vulnerability exists when an attacker establishes a vulnerable Netlogon secure channel connection to a domain controller, using the Netlogon Remote Protocol (MS-NRPC). An attacker who successfully exploited the vulnerability could run a specially crafted application on a device on the network. To exploit the vulnerability, an unauthenticated attacker would be required to use MS-NRPC to connect to a domain controller to obtain domain administrator access. Microsoft is addressing the vulnerability in a phased two-part rollout. These updates address the vulnerability by modifying how Netlogon handles the usage of Netlogon secure channels. Zitieren Link zu diesem Kommentar
Weingeist 159 Geschrieben 21. September 2020 Melden Teilen Geschrieben 21. September 2020 Yep, Scheint extrem krass zu sein der Bug. Braucht angeblich 3 Sekunden für der Hack... Zitieren Link zu diesem Kommentar
MurdocX 957 Geschrieben 21. September 2020 Melden Teilen Geschrieben 21. September 2020 ... um die gesamte Domäne zu übernehmen. Zitieren Link zu diesem Kommentar
zahni 558 Geschrieben 22. September 2020 Melden Teilen Geschrieben 22. September 2020 Was ich noch nicht ganz verstanden habe: Ist man nach dem Update nun geschützt oder erst nach dem "Enforcen"? Ich konnte die beschrieben Events bei uns noch nicht feststellen. Zitieren Link zu diesem Kommentar
NorbertFe 2.089 Geschrieben 22. September 2020 Melden Teilen Geschrieben 22. September 2020 (bearbeitet) vor 35 Minuten schrieb zahni: Ist man nach dem Update nun geschützt oder erst nach dem "Enforcen"? Aktuell musst du zwingend den Registry Wert setzen um damit das wirkt. Erst ab Februar (?) 2021 wird der Registrywert ignoriert und es ist immer aktiv und man kann nur noch mittels Exception arbeiten, wenn man Devices hat, die das nicht können. Kurz noch als Ergänzung das entsprechende Zitat: Zitat The February 9, 2021 release marks the transition into the enforcement phase. The DCs will now be in enforcement mode regardless of the enforcement mode registry key. This requires all Windows and non-Windows devices to use secure RPC with Netlogon secure channel or explicitly allow the account by adding an exception for the non-compliant device. bearbeitet 22. September 2020 von NorbertFe 1 Zitieren Link zu diesem Kommentar
zahni 558 Geschrieben 22. September 2020 Melden Teilen Geschrieben 22. September 2020 Danke. Dann werde ich noch 1-2 Tage den Eventlog der DCs beobachten und nach 5827-5831 Ausschau halten. Unsere Netapp ist jedenfalls wohl nicht betroffen. Zitieren Link zu diesem Kommentar
Weingeist 159 Geschrieben 25. September 2020 Melden Teilen Geschrieben 25. September 2020 Mich wundert die Time-Line etwas. Exploit-Code ist doch bereits aufgetaucht oder? Klar wegen Drittanbieter Software ist es doof, aber sind die Voraussetzungen damit der Hack überhaupt durchgeführt werden kann relativ hoch oder nimmt man es einfach in Kauf? Zitieren Link zu diesem Kommentar
NorbertFe 2.089 Geschrieben 25. September 2020 Melden Teilen Geschrieben 25. September 2020 Naja wieso? Die Timeline ist doch nur wichtig fürs Enforcement. Derjenige, den es kümmert, kann sofort etwas gegen diese Lücke tun. Diejenigen, die jetzt nichts tun, interessiert es eh nicht, oder sie machen es absichtlich nicht. Zitieren Link zu diesem Kommentar
zahni 558 Geschrieben 25. September 2020 Melden Teilen Geschrieben 25. September 2020 Ich habe den Wert nun gesetzt und es ist nichts passiert. Lt. Doku funktioniert das ohne Reboot. Der Wert übrigens vom Update bereits eingetragen und mit 0 vorbelegt. Zitieren Link zu diesem Kommentar
Weingeist 159 Geschrieben 25. September 2020 Melden Teilen Geschrieben 25. September 2020 Ich habe keine der Ereignisse mitgeschnitten... Hat das schon jemand? Zitieren Link zu diesem Kommentar
MurdocX 957 Geschrieben 25. September 2020 Melden Teilen Geschrieben 25. September 2020 Bisher hab ich eine Events. NTLM-frei wäre schon eine schöne Sache für die Zukunft... Zitieren Link zu diesem Kommentar
Kerberos_DLW 0 Geschrieben 30. September 2020 Melden Teilen Geschrieben 30. September 2020 Ist nach dem Patchen Anmeldungen von Win 7 Rechner noch möglich ? Zitieren Link zu diesem Kommentar
zahni 558 Geschrieben 30. September 2020 Melden Teilen Geschrieben 30. September 2020 Das musst Du testen. Noch musst Du es ja manuell aktiveren. Vorher gibt es Event-Einträge (siehe weiter oben). Zitieren Link zu diesem Kommentar
Weingeist 159 Geschrieben 30. September 2020 Melden Teilen Geschrieben 30. September 2020 Sollte kein Problem sein. Zumindest ist es hier keines. Zitieren Link zu diesem Kommentar
daabm 1.366 Geschrieben 30. September 2020 Melden Teilen Geschrieben 30. September 2020 Am 25.9.2020 um 17:01 schrieb MurdocX: NTLM-frei wäre schon eine schöne Sache für die Zukunft... Versuchen wir grad. SCVMM - negativ. Cluster - negativ. SCCM - negativ. (Alles noch 2016 oder älter - ab 2019 soll es angeblich besser werden). "Dieser Weg wird kein leichter sein"... Das NTLM Operational Eventlog ist unser täglicher Begleiter. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.