So schützen Sie sich vor Zerologon und ähnlichen Schwachstellen

Der Schutz allein von Workstations reicht nicht aus, um die Unternehmensinfrastruktur vor dieser Bedrohung zu schützen.

Letzten September hat die US-Cybersicherheitsbehörde CISA (Cybersecurity and Infrastructure Security Agency), die selten Verordnungen bezüglich spezifischer Schwachstellen erlässt, eine Notfall-Richtlinie veröffentlicht in der US-Regierungs-Admins, die Active Directory für ihre Windows-Netzwerke verwenden, angewiesen wurden, die Systeme gegen Zerologon abzusichern. Zerologon (CVE-2020-1472) ist eine kritische Sicherheitslücke im Netlogon-Protokoll des Active Directorys.

Zerologon erhielt eine CVSS-Bewertung von 10

Die Zerologon-Schwachstelle beruht auf einen unzuverlässigen kryptografischen Algorithmus im Netlogon-Authentifizierungsprozess. Die Sicherheitslücke ermöglicht es Angreifern, die eine Verbindung zum Unternehmensnetzwerk aufgebaut oder einen Computer des Netzwerkes für einen Angriff infiziert haben, die Kontrolle über den Domaincontroller (DC) zu übernehmen.

Der Schweregrad dieser gefährlichen Schwachstelle beträgt 10 (der höchste Wert) nach dem Common Vulnerability Scoring System (CVSS). Microsoft veröffentlichte letzten August einen Patch, doch erst die umfassende Studie des niederländischen Sicherheitsunternehmens Secura lenkte die Aufmerksamkeit auf Zerologon und die bestehenden Exploit-Möglichkeiten. Bereits Stunden später veröffentlichten Forscher ihre eigenen Machbarkeitsstudien, bzw. Proofs of Concept (PoC). Innerhalb von wenigen Tagen waren in GitHub mindestens vier Open Source Codes zu finden, die zeigten wie die Schwachstelle in der Praxis ausgenutzt werden könnte.

Zerologon in echten Angriffen

Die veröffentlichte Machbarkeitsstudie erregte natürlich nicht nur die Aufmerksamkeit der IT-Sicherheitsexperten, sondern lockte auch Cyberverbrecher an – die den Code nur ausschneiden und ohne Weiteres in ihre Malware einfügen konnten. Anfang Oktober berichtete Microsoft, dass die Hacker-Gruppe TA505 versucht hatte Zerologon auszunutzen. Die Cyberkriminellen tarnten die Malware als Software-Update und installierten Angriffs-Tools für den Exploit der Schwachstelle auf den infizierten Computern.

Eine weitere Gruppe, die hinter der Ryuk-Ransomware steckt, nutzte Zerologon aus, um das komplette lokale Netzwerk eines Unternehmens in nur fünf Stunden zu infizieren. Sie schickten eine Phishing-E-Mail, die von einem Mitarbeiter angeklickt wurde und schon war der Computer infiziert. Über den infizierten Computer konnten die Angreifer sich seitlich im Netzwerk bewegen und eine Ransomware einschleusen, die auf allen Servern und Workstations ausführbar war.

Warum Zerologon so gefährlich ist

Auch wenn es auf den ersten Blick für den Exploit von Zerologon notwendig erscheinen mag, einen Domaincontroller innerhalb des lokalen Netzwerkes anzugreifen, haben Cyberkriminelle dieses Hindernis längst umgangen, indem sie über diverse Methoden einen Computer im Netzwerk hacken. Zu den Methoden zählen Phishing, Supply-Chain-Angriffe und sogar unbeaufsichtigte Netzwerkbuchsen in Besucherbereichen. Eine weitere Gefahr stellen die Remote-Verbindungen dar (die heutzutage quasi alle Unternehmen verwenden) – besonders wenn Mitarbeiter über ihre eigenen Geräte auf Unternehmensressourcen zugreifen können.

Das Hautproblem bei Zerologon (und anderen hypothetischen Schwachstellen dieser Art) ist, dass der Exploit genauso aussieht wie ein Standard-Datenaustausch zwischen einem Computer des Netzwerkes und einem Domaincontroller. Allein der ungewöhnlich hohe Datenaustausch könnte Verdacht hervorrufen. Aus diesem Grund haben Unternehmen, die sich nur auf Endpoint-Sicherheitslösungen verlassen, kaum Chancen diese Art von Angriffen zu entdecken.

Für diese Art von Anomalien ist es am besten einen spezialisierten Service zu verwenden, wie beispielsweise Kaspersky Managed Detection and Response (MDR). Es handelt sich um ein externes Sicherheitscenter mit fundierten Kenntnissen über die Taktiken von Cyberkriminellen, das dem Kunden detaillierte und praktische Empfehlungen bietet.

Die Lösung besteht aus zwei Stufen: MDR Optimum und MDR Expert. Als die Details von Zerologon veröffentlicht wurden, begannen die Experten von Kasperskys Security Operations Center (SOC) sofort, im Rahmen des MDR-Service, die Exploit-Versuche zu tracken. Das Ziel bestand darin sicherzustellen, dass beide Versionen von Kaspersky Managed Detection and Response lückenlosen Schutz vor dieser Bedrohung gewährleisten.

Kaspersky Optimum Security umfasst Kaspersky Managed Detection and Response. Mehr Informationen zu dieser Lösung finden Sie auf der MDR-Seite von Kaspersky.

Tipps