Ausnutzung von Schwachstellen
„Zerologon” und die Bedeutung von Virtual Patching
Die vor kurzem veröffentlichte CVE namens „Zerologon“ (CVE-2020-1472) schlägt hohe Wellen. Trend Micro kann mit virtuellem Patching vor Zerologon und tausenden anderen Sicherheitslücken schützen.
von Trend Micro
Die vor kurzem veröffentlichte CVE namens „Zerologon“ (CVE-2020-1472) schlägt hohe Wellen. Über Zerologon können Angreifer den Kryptographiealgorithmus im Netlogon Authentifizierungsprozess ausnutzen und die Identität eines beliebigen Computers annehmen, wenn dieser sich beim Domänen-Controller authentifiziert. Einfacher gesagt, erlaubt diese Sicherheitslücke im Netlogon Remote Protocol (MS-NRPC) Angreifern, ihre Anwendungen auf einem Gerät im Netzwerk auszuführen. Ein nicht authentifizierter böswilliger Akteur könnte MS-NRPC dazu nutzen, sich mit einem Domain Controller (DC) zu verbinden und einen administrativen Zugang zu erlangen.
Laut Dustin Childs von der Zero-Day-Initiative (ZDI) ist das Schlimmste daran, dass es „keinen vollständigen Fix gibt“. Dieser Patch ermöglicht es DCs, Geräte zu schützen, aber um diesen Fehler vollständig zu beheben, bedarf es eines zweiten Patch, der derzeit für Q1 2021 geplant ist, der einen sicheren Remote Procedure Call (RPC) mit Netlogon erzwingen soll.. Doch auch nach Anwendung dieses Patch müssen noch Änderungen am DC vorgenommen werden, so der ZDI-Experte. Microsoft hat Anleitungen veröffentlicht, die Administratoren bei der Auswahl der richtigen Einstellungen helfen sollen.
Eigentlich sollte man davon ausgehen können, dass ein vorhandener Patch das Problem einfach löst. Doch die Idee des „einfachen Patchens“ ist nicht so simpel wie sie klingt – siehe auch den Blogeintrag von Dustin Childs dazu. Die durchschnittliche Mean Time to Patch (MTTP) beträgt 60 bis 150 Tage. Diese CVE wurde Anfang August veröffentlicht, sodass die Implementierung des Patches zwischen Oktober 2020 und Januar 2021 zu erwarten ist. Das heißt, Unternehmen sind bis dahin zwei bis fünf Monate lang bekannten Bedrohungen ausgeliefert.
Es heißt, dass nach der Veröffentlichung von Patches für neue CVEs von Microsoft und Adobe an jedem ersten Dienstag eines Monats die Angreifer an die Arbeit gehen und Exploits schreiben, die die Fehler ausnutzen, bevor die Patches aufgespielt wurden.
Schutz für Unternehmen
Trend Micro kann diese Zeiten, bis ein Patch aufgespielt wurde, über virtuelles Patching überbrücken. Die Technik liefert einen zusätzlichen Sicherheits-Layer, um vor Schwachstellen zu schützen, bis ein offizieller Anbieter-Patch angewendet wurde. Wie schon die Bezeichnung vermuten lässt, funktioniert der Schutz wie ein Patch, der für die Sicherheit der Umgebung sorgt, sollte jemand versuchen, die Schwachstelle auszunutzen. Virtuelle Patches können zum wichtigen Sicherheitsnetz werden.
Trend Micro kann mit virtuellem Patching vor Zerologon und tausenden anderen Sicherheitslücken schützen. Dank der ZDI sind die TippingPoint-Kunden bereits 81 Tage bevor ein Patch veröffentlicht wird geschützt, denn sobald eine Sicherheitslücke der ZDI gemeldet wird, beginnt das Team an dem Schutz vor der Lücke zu arbeiten.