IT-Dokumentation - Der Blog

Zerologon – Wiederherstellen der Sicherheit durch Patch und Docusnap

Do, 26. November 2020

Eine bunte Welt mit Schwachstellen

Bedrohungen im IT-Bereich gibt es, seit es die IT an und für sich gibt. Und seit wir uns alle im World Wide Web tummeln, gibt es kaum jemanden, der mit Computern arbeitet und noch nie mit einem Virus, einem Trojaner oder ähnlichem in Berührung geraten ist. Ebenso geläufig dürften mittlerweile die berüchtigten Verschlüsselungstrojaner sein, die gegen Bezahlung mit BitCoins den originalen Zustand wiederherstellen und die Verschlüsselung aufheben. Oder eben nicht.

Egal welche Auswirkungen diese Viren und Trojaner auch haben. Sie sind mit ein wenig Kenntnis und etwas Menschenverstand vorauszusehen. Wer unbedacht E-Mails mit Anhängen öffnet oder sich auf dubiosen Seiten rumtreibt, fordert es geradezu heraus. Wer hier Sorgfalt walten lässt, wird sich kaum einem Bedrohungsszenario aussetzen. Zudem gibt es mittlerweile unter Windows auch schon auf Betriebssystem-Ebene einen ordentlichen und vor allem immer aktuellen Schutzmechanismus, genannt Windows Defender.

Hände hoch, das ist ein Überfall

Es wäre ein Einfaches, könnte man die Bedrohungen auf diese Arten einschränken. Leider gibt es aber noch sehr viel verzwicktere Mechanismen, die gerade in der heutigen komplexen IT-Umgebung großen Schaden anrichten können. Und das Schlimme daran ist, dass ein Benutzer und auch der Administrator die Gefahr nicht kommen sieht. Eine Ankündigung durch den Angreifer, jetzt ihr Unternehmen zu gefährden und die Kontrolle zu übernehmen, kommt nicht.

Gemeint sind hier Sicherheitslücken, die in den Abermillionen an Code-Zeilen in unseren Programmen und Betriebssystemen schlummern. Ja, es stimmt. Viele dieser Sicherheitslücken sind zwar gut dokumentiert und oft nach der Erkennung auch geschlossen worden. Außerdem klappt die Ausnutzung derer oft nur im Labor und ist zumeist an sehr konstruierte Voraussetzungen gekoppelt.

Es gibt aber auch Sicherheitslücken, bei denen es komplett anders verläuft. Diese sind gefährlich und auch für erfahrene IT-Sicherheitsexperten nicht so einfach erkennbar. Und auch wenn die Gefahr rechtzeitig erkannt wird, bedarf es doch auch einiges an Arbeit, diese Lücken „lückenlos“ zu schließen.

Zerologon – der Login ohne Login

Um diese real existierende Gefahr aufzuzeigen, widmen wir uns in diesem Blogartikel der Sicherheitslücke Zerologon, was sie bedeutet, wie man sie aufspürt und ihr auch entgegentreten kann.

Bei Zerologon handelt es ich um eine Sicherheitslücke im Microsoft Windows Netlogon Remote Protocol (MS-NRPC). Durch diese Schwachstelle können Angreifer aufgrund eines Fehlers im Authentisierungsprotokoll von einem beliebigen Active Directory (AD)-integrierten Rechner das Kennwort eines Windows Servers (vor allem Domänencontroller) ändern oder entsprechende Prozesse starten.

Detaillierter wollen wir an dieser Stelle gar nicht herangehen. Im Internet existieren mehr als genug Informationen mit allen Details zur dieser speziellen Sicherheitslücke. Und auch unzählige Anleitungen, wie außenstehende Personen Zugriff auf Ihren ungeschützten Server bekommen können, werden seit Monaten verteilt.

Die Sorge um die Sicherheit

Wer braucht sich keine großen Sorgen machen?

Ja, es gibt auch in der IT-Branche so etwas wie „Sicherheitslücken-Leugner“. Gängige Aussagen wie „wir sind viel zu klein und uninteressant für die Gauner“ oder „bei uns patched der Chef persönlich, da kann gar nichts schief gehen“ hört man auf die eine oder andere Art sicher nicht zum ersten Mal.

Tatsächlich ist es so, dass ein kleines Unternehmen, das nur einen Server durch eine kompetente IT-Mannschaft betreibt, relativ sicher ist. Kompetent steht dafür, dass sich die Verantwortlichen nicht nur um einen reibungslosen Tagesbetrieb kümmern, sondern auch die nötigen Updates und Sicherheitspatches auf dem oder den Server(n) installieren. Auch die Kenntnis von Sicherheitslücken gehört zur Kernkompetenz einer guten IT-Abteilung. So auch im Falle der Zerologon-Schwachstelle. Seit August steht von Microsoft ein Sicherheitspatch bereit, der die Lücke größtenteils schließt.

Nicht kompliziert, aber komplex

Sehr viel schwieriger wird es für Unternehmen, wenn mehr als nur ein oder zwei Server betrieben werden. Seit Jahren werden viele Serverbetriebssysteme als virtuelle Instanzen genutzt. Domaincontroller, Terminalserver, Exchange (oder andere Mail-Server), SQL-Server mit Datenbanken, Backup-Server. Die Anzahl der eingesetzten Server-Betriebssysteme hat sich in den letzten Jahren geradezu inflationär erhöht.

Einen obendrauf setzen dann Unternehmen, die mehr als einen Standort und auch dort eine IT-Landschaft betreiben. Denn obwohl die IT von der zentralen IT-Abteilung gesteuert wird, sitzen an den Standorten oft nur kleinere Unterstützungs-Teams, welche nur rudimentäre Aufgaben wie Backups und Aufrechterhaltung des Tagesbetriebs übernehmen können. Mit jedem Standort wächst in der Regel auch die Anzahl der zu betreuenden Server. Und mit jedem Server wächst auch die Gefahr, dass er übersehen oder „hintangestellt“ wurde. „Der Server ist Bestandteil des produktiven Umfelds und kann nicht einfach runtergefahren werden!“. Die Ausreden oder Erklärungen, warum man noch nicht updaten konnte, sind vielfältig.

Einer hält den Kopf hin

Wie auch immer, in jedem Unternehmen gibt es Verantwortliche. Der eine kümmert sich um den Brandschutz, der andere um den Datenschutz. Für alle Bereiche trägt jemand eine Verantwortung. Und der IT-Verantwortliche? Der hält den Kopf hin, wenn in Hinterobertupfing ein kleiner Server der Außenstelle steht und großzügig Geschäftsdaten mit der Außenwelt kommuniziert.

Spätestens jetzt lehnen sich alle entspannt zurück, die über eine umfassend dokumentierte IT-Landschaft verfügen. Und ein breites Lächeln macht sich bei denen bemerkbar, die auf Docusnap vertrauen.

Wie einfach wir mit Docusnap 11 den aktuellen Patch-Stand all unserer eingesetzten Server überprüfen und in einem Bericht auswerten lassen können, zeigen wir Ihnen hier.

Mit wenigen Mausklicks erfahren Sie den aktuellen Stand über alle Server und setzen einfach einen Filter auf jene Server, die noch nicht mit dem nötigen Sicherheits-Patch ausgestattet sind.

Damit ist eine lückenlose Installation leicht zu planen und es kann auch kein System vergessen werden. Somit ist eine der Hauptgefahren bereits geschlossen. Der eigentliche Job beginnt aber erst jetzt.

Die Sicherheitspatches für die Windows-Server beheben zwar den Fehler, aber eine weitere nicht unkritische Lücke bleibt bestehen. Bis dato können sich die Client-Geräte noch unverschlüsselt mit dem Netlogon-Protokoll mit dem Server verbinden. Natürlich kann man dies bereits serverseitig unterbinden und Microsoft selbst hat bereits die Vorkehrungen getroffen, dass voraussichtlich 02/2021 keine unverschlüsselten Verbindungen mehr mit den Servern möglich sein werden.

Aber das löst das Problem auch nicht, wenn es da draußen in unserer Organisation immer noch Maschinen gibt, die es unverschlüsselt versuchen. Und um diesen Geräten auf die Schliche zu kommen, müssen wir regelmäßig die Logon-Protokolle der Server nach bestimmten IDs kontrollieren. Eine mühselige Arbeit, die zu dem recht zeit- und fehleranfällig sein kann. Und als tolle Zusatzaufgabe ist diese Kontrolle in regelmäßigen Abständen durchzuführen.

Sie ahnen es bereits. Anstatt jetzt für jede Außenstelle einen Glücklichen zu benennen, der kontinuierlich die Protokoll-Dateien der Server durchforstet, zeigen wir Ihnen, wie vorteilhaft und schnell wir mit Docusnap den Problemgeräten auf die Spur kommen.

Auch hier werden von Docusnap wieder alle relevanten Daten zentral gesammelt und als generierter Bericht mit den aktuellen Daten dargestellt. Mit Hilfe dieser Informationen können dann gezielt alle unsicheren Verbindungen untersucht und abgestellt werden.

Das Beste kommt zum Schluss

Abgesehen von der eigentlichen Ausrollung der Sicherheits-Updates und Patches dauert das Auffinden der gefährdeten und unsicheren Systeme mit Docusnap weniger lang, als wir für das Lesen dieses Blogs benötigen.

Wer bereits Erfahrung mit Docusnap hat, weiß, dass im Hintergrund bereits alle relevanten Daten in einer Datenbank darauf warten, ausgewertet zu werden. Docusnap stellt in seiner aktuellen Version 11 sofort einsetzbare Vorlagen zur Verfügung, um diese Sicherheitslöcher schonungslos im gesamten Firmennetzwerk aufzuzeigen.

Nur das Schließen der Lücken, also das Einspielen der Patches und das Herstellen der gesicherten Verbindungen, müssen wir selbst durchführen oder zumindest in Auftrag geben.
 
So geht’s in Docusnap: