1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Sicherheitslücke: Mit acht Nullen zum…

Wichtig zu wissen:

  1. Thema

Neues Thema Ansicht wechseln


  1. Wichtig zu wissen:

    Autor: Sea 15.09.20 - 11:25

    Es ist mit der Installation des Patches nicht getan! Der schliesst erst mal gar nichts.
    Der Patch sorgt lediglich dafür das es neue Eventlogs auf den DCs gibt, damit man erkennen kann welches Gerät noch das alte Protokoll verwendet.
    Beschreibung der Eventlogs: https://support.microsoft.com/de-de/help/4557222/how-to-manage-the-changes-in-netlogon-secure-channel-connections-assoc
    Diese Logs sollte man dann nach ein paar Tagen auswerten und prüfen ob man noch Geräte hat. Diese müssen dann entweder getauscht, gepatched oder in eine Ausnahmeliste aufgenommen werden.
    Jetzt kann man den im obigen Link angegebenen Registry Key setzen um das alte Protokoll zu verbieten\nur die in der Ausnahmeliste gesetzten Geräte weiter zu erlauben.
    Erst JETZT ist man sicher vor der Lücke.

    Auch wichtig: Nächstes Jahr wird es einen Patch von MS geben, der diesen Registrykey hart setzt. Bis dahin sollte man also seinen Legacykram erfasst haben, sonst gibt's ein böses erwachen

  2. Re: Wichtig zu wissen:

    Autor: Tantalus 15.09.20 - 11:48

    Sea schrieb:
    --------------------------------------------------------------------------------
    > Es ist mit der Installation des Patches nicht getan! Der schliesst erst mal
    > gar nichts.
    > Der Patch sorgt lediglich dafür das es neue Eventlogs auf den DCs gibt,
    > damit man erkennen kann welches Gerät noch das alte Protokoll verwendet.
    > Beschreibung der Eventlogs: support.microsoft.com

    Das stimmt nach allem, was ich gelesen habe, nicht:
    Erzwingt die Secure RPC-Nutzung für Computerkonten auf Windows-basierten Geräten.
    Erzwingt die Secure RPC-Nutzung für vertrauenswürdige Konten.
    Erzwingt die Secure RPC-Nutzung für alle Windows- und nicht-Windows-DCs.


    > Auch wichtig: Nächstes Jahr wird es einen Patch von MS geben, der diesen
    > Registrykey hart setzt. Bis dahin sollte man also seinen Legacykram erfasst
    > haben, sonst gibt's ein böses erwachen

    Der Patch im Februar betrifft dann "nur" nicht-Windows-Geräte, also z.B. NAS-Systeme, die man in die Domäne eingebunden hat.
    Dass man dafür eine Übergangszeit einräumt ist irgendwo nachvollziehbar.

    Gruß
    Tantalus

    ___________________________

    Man sollte sich die Ruhe und Nervenstärke eines Stuhles zulegen. Der muss auch mit jedem Arsch klarkommen.

  3. Re: Wichtig zu wissen:

    Autor: on(Golem.de) 15.09.20 - 11:57

    Hallo,

    danke für den Hinweis. Ich habe das noch einmal ergänzt: Also aktuelle Windows-Geräte sollten per Update mit dem RPC-Zwang standardmäßig kompatibel sein. Nicht kompatible Geräte, also ältere Betriebssysteme oder ein Nicht-Windows-10-OS, können per Gruppenrichtlinie davon ausgeschlossen werden und weiter in der Domäne funktionieren.

    Per Event-Log können Admins im Prinzip diese inkompatiblen Clients zentral finden und dann manuell die Richtlinie darauf aufspielen. Ab Februar 2021 wird das allerdings nicht mehr funktionieren - in der Annahme, dass die inkompatiblen Geräte dann ersetzt wurden.

    Viele Grüße

    Oliver Nickel
    Golem.de

  4. Re: Wichtig zu wissen:

    Autor: Tantalus 15.09.20 - 12:00

    on(Golem.de) schrieb:
    --------------------------------------------------------------------------------
    > Ab Februar 2021
    > wird das allerdings nicht mehr funktionieren - in der Annahme, dass die
    > inkompatiblen Geräte dann ersetzt wurden.

    Sicher? Ich lese das bei MS etwas anders. Zum Thema Febraur-Patch steht da:
    Erzwingt die Secure RPC-Nutzung für Computerkonten auf nicht-Windows-basierten Geräten, sofern nicht von der Gruppenrichtlinie „Domänencontroller: Zulassen von angreifbaren sicheren Netlogon-Kanalverbindungen“ zugelassen.
    https://support.microsoft.com/de-de/help/4557222/how-to-manage-the-changes-in-netlogon-secure-channel-connections-assoc

    Gruß
    Tantalus

    ___________________________

    Man sollte sich die Ruhe und Nervenstärke eines Stuhles zulegen. Der muss auch mit jedem Arsch klarkommen.

  5. Re: Wichtig zu wissen:

    Autor: on(Golem.de) 15.09.20 - 12:13

    Hallo,

    auch, wenn es tatsächlich sehr merkwürdig ist, scheint das zu stimmen. Admins können also per Gruppenrichtlinie die Sicherheitslücke einfach weiter unbehandelt lassen. Sehr merkwürdig.

    Zumindest können Admins diese unsicheren Konten mit eingeschränkten Rechten versehen, sodass eine Übernahme weniger gefährlich ist. Wahrscheinlich ist es da aber besser, einfach etwas Neues zu kaufen.

    Ich ändere das.

    Viele Grüße

    Oliver Nickel
    Golem.de

  6. Re: Wichtig zu wissen:

    Autor: crew 15.09.20 - 12:51

    Hm, schon seltsam wenn der Autor eines solchen Artikels erst durch Leserkommentare richtig versteht, worum es geht und was man tun sollte.

  7. Re: Wichtig zu wissen:

    Autor: koelnerdom 15.09.20 - 13:06

    Ja natürlich, weil der Autor eines Artikels auch unweigerlich über allmächtiges Wissen verfügen muss. Ich finde es ziemlich cool, wenn so reagiert wird.

  8. Re: Wichtig zu wissen:

    Autor: Sea 15.09.20 - 13:07

    Naja ... der Patch zwingt lediglich bereits authorisierte Windows Systeme dazu das sichere Protokoll zu nutzen. Als böser Angreifer gebe ich mich jetzt halt nicht als Windows System aus. Wie gesagt: Gefixed wird da gar nichts. Das Protokoll bleibt verwundbar und nutbar.
    Erst der Registrykey sorgt dafür dass das alte Protokoll nicht mehr genutzt werden kann.

  9. Re: Wichtig zu wissen:

    Autor: Tantalus 15.09.20 - 13:40

    Sea schrieb:
    --------------------------------------------------------------------------------
    > Naja ... der Patch zwingt lediglich bereits authorisierte Windows Systeme
    > dazu das sichere Protokoll zu nutzen. Als böser Angreifer gebe ich mich
    > jetzt halt nicht als Windows System aus.

    Soweit ich weiss muss der angreifende Client aber schon Domänenmitglied sein. Das reduziert die Angriffsfläche schon mal erheblich.

    > Wie gesagt: Gefixed wird da gar
    > nichts. Das Protokoll bleibt verwundbar und nutbar.
    > Erst der Registrykey sorgt dafür dass das alte Protokoll nicht mehr genutzt
    > werden kann.

    Die Entdecker des Exploits sehen das anders:
    The patch released on Patch Tuesday of August 2020 addresses this problem by enforcing Secure NRPC (i.e. Netlogon signing and sealing) for all Windows servers and clients in the domain, breaking exploit step 2. Furthermore, my experiments show that step 1 is also blocked, even when not dropping the sign/seal flag. I don’t know how exactly this is implemented: possibly by blocking authentication attempts where a ClientCredential field starts with too many zeroes. I did not succeed in bypassing this check. Either way, the Zerologon attack such as described here will no longer work if the patch is installed.

    Gruß
    Tantalus

    ___________________________

    Man sollte sich die Ruhe und Nervenstärke eines Stuhles zulegen. Der muss auch mit jedem Arsch klarkommen.

  10. Re: Wichtig zu wissen:

    Autor: Tantalus 15.09.20 - 13:50

    koelnerdom schrieb:
    --------------------------------------------------------------------------------
    > Ja natürlich, weil der Autor eines Artikels auch unweigerlich über
    > allmächtiges Wissen verfügen muss.

    Es steht alles auf einer im Artikel verlinkten MS-Seite. Die sollte man zumindest mal gelesen haben. Nix mit allwissend und so...

    Gruß
    Tantalus

    ___________________________

    Man sollte sich die Ruhe und Nervenstärke eines Stuhles zulegen. Der muss auch mit jedem Arsch klarkommen.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Bundesrechnungshof, Bonn
  2. Paracelsus-Klinik Golzheim, Düsseldorf
  3. über duerenhoff GmbH, Raum Offenbach
  4. STADT ERLANGEN, Erlangen

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. ab 84,90€ auf Geizhals
  2. 86,51€ (Vergleichspreis 98,62€ + Lieferzeit, 103,78€ sofort verfügbar)
  3. 418,15€


Haben wir etwas übersehen?

E-Mail an news@golem.de