Datum 24.09.2020

In der Microsoft Windows Netlogon Remote Protocol (MS-NRPC) Implementierung des Windows Servers besteht eine kritische Schwachstelle (CVE-2020-1472), die unter dem Namen „Zerologon“ bekannt wurde. Das BSI rät Anwendern dringend dazu, die von Microsoft bereitgestellten Sicherheitsupdates auf allen als Domänencontroller eingesetzten Windows Servern schnellstmöglich zu installieren und neue Server nicht ohne die Sicherheitsupdates in Betrieb zu nehmen. Die Sicherheitsupdates stehen hier zur Verfügung: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1472

Die Dringlichkeit besteht, weil bereits Exploit-Code öffentlich verfügbar ist, der vergleichsweise einfach anzuwenden ist. Die Schadenswirkung im Falle eines erfolgreichen Angriffs ist hoch.

Durch Ausnutzung der Schwachstelle können Angreifer aufgrund eines Fehlers des im MS-NRPC verwendeten Authentisierungsprotokolls von einem beliebigen AD-integrierten Rechner das Passwort eines Windows Servers, insbesondere des Domänencontrollers, ändern oder entsprechende Prozessaufrufe absetzen. Dies ermöglicht zum Beispiel eine Kompromittierung des Identitätsdienstes.