
Inzwischen wurden weitere Möglichkeiten entdeckt, die Zerologon-Schwachstelle über das Zurücksetzen der Domain-Passwörter hinaus auszunutzen. Eine weitere Möglichkeit ist unter anderem die Extraktion von Domain-Passwörtern. Diese Entwicklung erhöht das Risiko, dem Unternehmen weltweit ausgesetzt sind. Damit ein solcher Angriff erfolgreich ist, müsste sich ein Angreifer zunächst Fernzugriff oder physischen Zugriff auf ein Gerät – wie z.B. einen Domänencontroller – im gleichen Netzwerk verschaffen. Gültige Domain-Zugangsdaten oder die Domain-Mitgliedschaft sind jedoch keine Voraussetzungen für einen erfolgreichen Angriff.
„Inzwischen warnen auch Hardware-Hersteller wie QNAP oder öffentliche Stellen wie das BSI vor der Ausnutzung der Schwachstelle. Unternehmen können sich nicht auf das Patchen allein verlassen und sollten stattdessen in moderne Sicherheitslösungen zur Erkennung von Angriffen investieren. Dank unserer Sicherheitsforscher gehörten wir zu den ersten, die den Angriff auf Endpoint-Ebene detektieren konnten. Leider sind solche Schwachstellen keine Seltenheit und es gibt nicht viel, was Unternehmen tun können, um sich darauf vorzubereiten. Deshalb ist es so wichtig auf KI-Sicherheitslösungen zu setzen,“ kommentiert Matthias Canisius, Regional Director CEU bei SentinelOne.
Seit der Bekanntgabe der Schwachstelle wurde Exploit-Code gefunden. Die CISA hat erklärt, dass die Schwachstelle ein inakzeptables Risiko darstelle und sofortige und dringende Maßnahmen erfordere. Obwohl Microsoft einen ersten Patch für Zerologon veröffentlicht hat, ist dies nur der Beginn einer schrittweisen Einführung, die der Hersteller des Betriebssystems voraussichtlich mindestens bis zum ersten Quartal 2021 dauern wird. In der Zwischenzeit weist Microsofts Hinweis darauf hin, dass das aktuelle Update nur unterstützte Windows-Geräte schützt, so dass ältere Windows-Versionen und andere Geräte, die mit Domänencontrollern über das Netlogon MS-NRPC-Protokoll kommunizieren, anfällig für Übergriffe sind.
Darüber hinaus verhindert der anfängliche Patch nicht einen Angriff, der Zerologon ausnutzt. Vielmehr fügt er eine Protokollierung hinzu, um unsichere RPC zu erkennen, und eine Registrierungseinstellung, um unsichere RPC zu deaktivieren, wenn es keine Geräte gibt, die das Protokoll verwenden. Die Herausforderung für die Sicherheitsteams von Unternehmen besteht darin, dass dies zu einem Bruch von Legacy-Anwendungen führen kann, wenn es einfach nur ausgeschaltet wird. Daher sind sie selbst mit dem derzeit verfügbaren Patch immer noch anfällig, wenn ihre Organisation die Registrierungseinstellung nicht deaktivieren kann.
Tipps zum Aufspüren und zur Abwehr von Zerologon-Missbrauch
Aus Endpunktsicht kann es schwierig sein, diesen Angriff zu erkennen, da sich der Angreifer im Wesentlichen auf eine Weise gegenüber der Domain authentifiziert, die dem Verhalten eines legitimen Benutzers/Kontos ähnelt. Darüber hinaus liegt der primäre Angriffsvektor auf der Netzwerkebene, im Gegensatz zur Interaktion mit dem Dateisystem eines Hosts. Infolgedessen ist die direkte Adressierung der Schwachstelle für viele traditionelle Endpunkt-Sicherheitslösungen „out-of-scope“.
Weitere Informationen lesen Sie hier: https://www.sentinelone.com/blog/zerologon-cve-2020-1472-sentinelone-first-to-detect-on-the-endpoint/
Fachartikel

Cyberkriminelle nutzen GitHub zur Verbreitung von Schadsoftware

Coralogix launcht MCP-Server: Echtzeit-Zugriff für KI-Agenten auf Observability-Daten

Gesichtserkennung in Windows Hello for Business: Forscher decken neue Schwachstellen auf

DDoS-Gefahr wächst weiter: Cloudflare meldet Rekordwerte im neuen Quartalsbericht

Das M&A-Sicherheitshandbuch: 11 Fragen zur Bewältigung der Cybersicherheit bei Fusionen und Übernahmen
Studien

Bevor der erste Dominostein fällt: Cyberwarfare am Scheideweg

KI-Gesetzgebung: EU vs. USA – Wo stehen wir aktuell?

Quantencomputing rückt näher: Unternehmen bereiten sich auf das Ende heutiger Verschlüsselung vor

Report: Unternehmen bei SaaS-Sicherheit schlecht vorbereitet – Risiken durch KI-Anwendungen nehmen zu

Chief AI Officer als Erfolgsfaktor: Studie zeigt bis zu 36 % höheren ROI bei KI-Investitionen
Whitepaper

Digitalisierung und Sicherheit im Fokus: Initiative überreicht Abschlussbericht an Bundespräsidenten

ISACA veröffentlicht Leitfaden zu NIS2 und DORA: Orientierungshilfe für Europas Unternehmen

CISA und US-Partner warnen kritische Infrastrukturen vor möglichen Cyberangriffen aus dem Iran

Dating-Apps: Intime Einblicke mit Folgen
