Microsoft warnt vor Attacken auf eine kritische Sicherheitslücke in verschiedenen Windows-Server-Versionen. Auch Samba ist betroffen.

Windows-Admins sollten zügig ihre Server aktualisieren und so vor Attacken schützen. Durch das erfolgreiche Ausnutzen der als „kritisch“ eingestuften sogenannten Zerologon-Sicherheitslücke könnten Angreifer ganze Domänen mit Adminrechten übernehmen.

Die Schwachstelle (CVE-2020-1472) ist mit dem höchstmöglichen CVSS Score 10 von 10 eingestuft. Sicherheitsupdates stehen seit dem Patchday im August bereit.

Mitte September tauchte der erste Exploit-Code auf. Nun hat Microsoft erste Attacken beobachtet. Sie raten Admins dazu, ihre Server sofort auf den aktuellen Stand zu bringen.

Aufgrund von Fehlern beim Einsatz der AES-CFB8-Verschlüsselung beim Netlogon-Prozess könnten entfernte Angreifer ohne Authentifizierung über das Netlogon Remote Protocol (MS-NRPC) eine Verbindung zu einem Domänencontroller aufbauen.

Damit das klappt, müssten Angreifer lediglich mit an bestimmten Stellen mit Nullen präparierte Netlogon-Nachrichten verschicken. So könnten beispielsweise Admin-Zugangsdaten leaken.

Samba ist nur für Zerologon anfällig, wenn die Server-Software als Domänencontroller (Active Directory DC, /NT4-style DC) zum Einsatz kommt.

Ist das der Fall, sollten Admins sicherstellen, dass mindestens die Ausgabe 4.8 aus März 2018 installiert sind. Diese setzt einer Warnmeldung der Samba-Entwickler zufolge standardmäßig auf einen abgesicherten Netlogon-Prozess.