Microsoft warnt vor Attacken auf eine kritische Sicherheitslücke in verschiedenen Windows-Server-Versionen. Auch Samba ist betroffen.
Windows-Admins sollten zügig ihre Server aktualisieren und so vor Attacken schützen. Durch das erfolgreiche Ausnutzen der als „kritisch“ eingestuften sogenannten Zerologon-Sicherheitslücke könnten Angreifer ganze Domänen mit Adminrechten übernehmen.
Die Schwachstelle (CVE-2020-1472) ist mit dem höchstmöglichen CVSS Score 10 von 10 eingestuft. Sicherheitsupdates stehen seit dem Patchday im August bereit.
Mitte September tauchte der erste Exploit-Code auf. Nun hat Microsoft erste Attacken beobachtet. Sie raten Admins dazu, ihre Server sofort auf den aktuellen Stand zu bringen.
Aufgrund von Fehlern beim Einsatz der AES-CFB8-Verschlüsselung beim Netlogon-Prozess könnten entfernte Angreifer ohne Authentifizierung über das Netlogon Remote Protocol (MS-NRPC) eine Verbindung zu einem Domänencontroller aufbauen.
Damit das klappt, müssten Angreifer lediglich mit an bestimmten Stellen mit Nullen präparierte Netlogon-Nachrichten verschicken. So könnten beispielsweise Admin-Zugangsdaten leaken.
Samba ist nur für Zerologon anfällig, wenn die Server-Software als Domänencontroller (Active Directory DC, /NT4-style DC) zum Einsatz kommt.
Ist das der Fall, sollten Admins sicherstellen, dass mindestens die Ausgabe 4.8 aus März 2018 installiert sind. Diese setzt einer Warnmeldung der Samba-Entwickler zufolge standardmäßig auf einen abgesicherten Netlogon-Prozess.