Magic Quadrant™ für Privileged Access Management 2025: Netwrix zum vierten Jahr in Folge anerkannt. Laden Sie den Bericht herunter.

Kontaktieren Sie unsUnterstützungCommunity
English Español Italiano Français Deutsch Português
Plattform
Lösungen

Data Security Posture Management

Entdecken und klassifizieren Sie Daten in hybriden Umgebungen. Bewerten, priorisieren und mindern Sie Risiken für sensible Daten.

Directory Management

Vereinfachen und sichern Sie die Directory-Verwaltung, indem Sie Komplexität, Risiko und manuellen Aufwand reduzieren.

Endpoint Management

Sichern Sie Endpunkte und verhindern Sie Datenverlust, während Sie die Produktivität der Teams aufrechterhalten — unabhängig davon, wo sie arbeiten.

Identity Management

Sichern Sie jede Identität, optimieren Sie jeden Prozess und bleiben Sie der Compliance voraus – ohne zusätzliche Komplexität.

Identity Threat Detection & Response

Bleiben Sie identitätsbasierten Bedrohungen einen Schritt voraus — beheben Sie Risiken proaktiv, blockieren Sie Angriffe und stellen Sie eine schnelle Wiederherstellung sicher.

Privileged Access Management

Reduzieren Sie Ihre Angriffsfläche, indem Sie ständige Berechtigungen entfernen, Anmeldeinformationen absichern und privilegierte Sitzungen überwachen.
Empfohlene Produkte Alle Produkte anzeigen
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

Die Netwrix 1Secure™ Plattform

Entdecken
Netwrix AI Umgebungen, die wir schützen Integrationen MSPs Sicherheitsrisiken bei Active Directory Compliance Preisgestaltung
Resource Center Alle ansehen
BlogAttack CatalogComplianceKundenerfahrungenCybersecurity FrameworksCybersecurity GlossarEventsFreewareGuidesIdeas PortalNewsPodcastsPublikationenProduktankündigungenForschungWebinare
Asset not found

Vorgestellte Kundenstory

DXC Technology ermöglicht es Kunden, die PCI DSS-Konformität zu erreichen und sich auf strategische Initiativen zu konzentrieren
Partner
PartnerprogrammWerden Sie PartnerMSPsPartnerfinderWebinare
Asset not found

Vorgestellte Kundenstory

AppRiver verbessert die Kontrolle über Active Directory und reduziert die Überwachungszeit erheblich
Asset not found

Vorgestellte Kundenstory

MSP hilft Klienten, sich in 6 Stunden von Ransomware zu erholen
Warum Netwrix
Über unsFührungNetwrix AIKundenreferenzenAnerkennungNewsKarriere
Asset not found

Vorgestellte Kundenstory

Horizon Leisure Centres beschleunigt die Datenklassifizierung, um die DSGVO einzuhalten, und spart jährlich 80.000 £
Asset not found

Vorgestellte Kundenstory

Samsung R&D Institute sichert Daten mit plattformübergreifender Nutzung und schneller macOS-Implementierung durch Netwrix Endpoint Protector
Glossar zur cybersicherheitAngriffskatalog
Zerologon-Schwachstelle erklärt: Risiken, Exploits und Milderung

Zerologon-Schwachstelle erklärt: Risiken, Exploits und Milderung

Zerologon ist eine Schwachstelle in Windows Server (CVE-2020-1472), die es Angreifern ermöglicht, einen Fehler im Netlogon-Protokoll auszunutzen, um die Authentifizierung an einem Domain-Controller zu umgehen. Dies gewährt ihnen innerhalb von Minuten vollständige administrative Kontrolle über eine gesamte Active Directory-Domäne.

Attribut

Details

Angriffsart

Zerologon (CVE-2020-1472) – Privilege Escalation über MS-NRPC

Auswirkungsgrad

Kritisch

Ziel

Unternehmen / Regierungen / Alle Organisationen, die Active Directory verwenden

Primärer Angriffsvektor

Netzwerk (TCP-Sitzung zum Domain Controller)

Motivation

Finanzieller Gewinn, Spionage, Störung, Erpressung

Gängige Präventionsmethoden

Rechtzeitiges Patchen, MFA, Netlogon Secure Channel Durchsetzung, EDR, SIEM, Überwachung von anomalen Kontoänderungen

Risikofaktor

Level

Möglicher Schaden

Äußerst hoch

Einfachheit der Ausführung

Hoch

Wahrscheinlichkeit

Hoch

Was ist Zerologon?

Zerologon ist eine kritische Sicherheitsanfälligkeit von Windows Server (CVE-2020-1472). Sie resultiert aus einem Fehler im Netlogon Remote Protocol (MS-NRPC) von Microsoft, bei dem die AES-CFB8-Verschlüsselung einen festen, komplett nullen Initialisierungsvektor verwendet. Ein Angreifer benötigt lediglich grundlegenden Netzwerkzugriff auf den Netlogon-Dienst eines Domain-Controllers (beispielsweise über eine VPN-Verbindung oder eine kompromittierte interne Maschine), um manipulierte Netlogon-Nachrichten zu senden, die wiederholt eine erfolgreiche Authentifizierung erzwingen. Ist dies erfolgreich, können sie:

  • Einen Domänencontroller imitieren.
  • Setzen Sie das Maschinenkonto-Passwort des DC zurück, selbst ohne jegliche Anmeldeinformationen.
  • Von dort aus können sie direkt zum Domain Admin eskalieren und die gesamte Active Directory-Domäne übernehmen.

Dieser Angriff kann innerhalb von Minuten eine gesamte Windows-Domäne kompromittieren, weshalb Microsoft ihm die Kennung CVE-2020-1472 mit einem CVSS-Wert von 10,0 (Kritisch) zugewiesen hat. Der Fehler wurde aktiv von fortgeschrittenen Bedrohungsgruppen und Ransomware-Betreibern wie Ryuk, Black Basta und Cuba ausgenutzt. Das Patchen dieser Schwachstelle ist nicht nur eine Empfehlung; es ist absolut kritisch.

Wie funktioniert Zerologon?

Lassen Sie uns jeden Schritt des Zerologon-Angriffs betrachten und verstehen, wie ein Angreifer von einem grundlegenden Netzwerkzugang dazu übergeht, einen Domain-Controller zu kompromittieren.

1. Eine TCP-Sitzung mit dem Ziel-DC aufbauen

Der Angreifer benötigt Netzwerkzugriff auf den Netlogon-Dienst (TCP/445) eines Domain-Controllers. Oft erlangen sie diesen durch Phishing, gestohlene VPN-Zugangsdaten oder laterale Bewegungen von einem kompromittierten internen Host.

2. Initiieren Sie einen ungesicherten Netlogon-Kanal

Der Angreifer nutzt eine kryptografische Schwäche im Netlogon Remote Protocol (MS-NRPC) von Microsoft aus. Aufgrund des Fehlers in der AES-CFB8-Verschlüsselung, der einen festen, komplett auf Null gesetzten Initialisierungsvektor (IV) verwendet, sendet der Angreifer wiederholt manipulierte Netlogon-Nachrichten, bis eine mit einem auf Null gesetzten Sitzungsschlüssel erfolgreich ist und das Protokoll die Sitzung ohne angemessene Authentifizierung akzeptiert. Mit anderen Worten, das Protokoll scheitert daran, die Sitzung sicher zu validieren.

Jeder sorgfältig erstellte Anfrage hat ungefähr eine 1 zu 256 Chance auf Erfolg, daher kann ein Skript innerhalb von Sekunden eine Authentifizierung erreichen.

3. Deaktivieren Sie die Signierung & Versiegelung

Nach dem Handshake schaltet der Angreifer die Nachrichtensignierung und Verschlüsselung aus. Dadurch wird sichergestellt, dass der nachfolgende Netlogon-Verkehr, einschließlich Passwortänderungen, im Klartext übertragen wird.

4. Senden Sie NetrServerPasswordSet2

Nachdem eine nicht authentifizierte, aber (fälschlicherweise) vertrauenswürdige Netlogon-Sitzung erstellt wurde, ruft der Angreifer die NetrServerPasswordSet2 RPC-Funktion auf, um das Maschinenkontopasswort des Domain-Controllers auf eine leere Zeichenfolge zurückzusetzen. Auf diese Weise übernimmt der Angreifer die Kontrolle über den DC.

5. Nutzen Sie erhöhte Privilegien

Mit Domain-Controller-Privilegien ausgestattet, kann der Angreifer Tools wie Mimikatz verwenden, um einen DCSync durchzuführen.

DCSync missbraucht den normalen Replikationsprozess, den DCs verwenden, um ihre Datenbanken synchron zu halten. Indem er einen anderen DC imitiert, fordert der Angreifer die Active Directory-Datenbank der Passworthashes an, einschließlich derer für Dienstkonten und Domain-Admins. Mit diesen Hashes kann der Angreifer jedes Konto erstellen oder imitieren, dauerhaften Zugriff behalten und die vollständige Kontrolle über die gesamte Domäne erlangen.

6. Optional das Passwort wiederherstellen

Einige Angreifer setzen das Maschinenkontopasswort des DCs zurück auf seinen ursprünglichen Wert, um der Zerologon-Erkennung zu entgehen und gleichzeitig Zugriff auf gestohlene Anmeldeinformationen zu behalten.

Angriffsflussdiagramm

Das folgende Beispiel-Szenario kann Ihnen helfen zu verstehen, wie ein Zerologon-Angriff in einer realen Situation aussehen könnte.

Bei einem mittelgroßen Gesundheitsdienstleister klickt ein Finanzmitarbeiter auf eine überzeugende Phishing-E-Mail, wodurch ein Angreifer Fernzugriff auf dessen Arbeitsstation erhält. Von diesem Brückenkopf aus scannt der Angreifer das interne Netzwerk und entdeckt einen ungepatchten Domain-Controller. Unter Ausnutzung der Zerologon-Schwachstelle (CVE-2020-1472) etabliert der Angreifer eine vertrauenswürdige Netlogon-Sitzung und setzt das Maschinenkonto-Passwort des DCs auf einen leeren Wert zurück. Mit nun vorhandenen Domain-Admin-Privilegien führen sie einen DCSync-Angriff durch, um alle Active Directory-Anmeldehashes zu dumpen, bewegen sich seitwärts zu den Servern mit Patientenakten und setzen Ransomware ein - innerhalb von Stunden wird der IT-Betrieb der Organisation lahmgelegt.

Das Diagramm veranschaulicht eine typische Zerologon-Angriffskette, vom ersten Netzwerkzugriff bis zum vollständigen Domain-Kompromiss.

Image

Beispiele für Zerologon-Angriffe

Seit seiner Offenlegung im Jahr 2020 wurde Zerologon bei mehreren tatsächlichen Sicherheitsverletzungen ausgenutzt. Angreifer haben diese Technik genutzt, um Ransomware- und APT-Operationen gegen Regierungs-, Gesundheits- und Unternehmensnetzwerke weltweit durchzuführen. Hier sind einige tatsächliche Fälle.

Case

Auswirkung

Ryuk-Ransomware (2020)

Ende 2020 nutzten mit Ryuk Ransomware verbundene Bedrohungsakteure die Zerologon-Schwachstelle (CVE-2020-1472), um innerhalb von weniger als fünf Stunden ganze Windows-Domänen zu verschlüsseln. Zu den Opfern gehörten US-Krankenhäuser und kommunale Regierungen.

Nachdem sie anfänglichen Zugriff erlangt hatten, nutzten Angreifer Zerologon aus, um Passwörter von Maschinenkonten des Domain-Controllers zurückzusetzen, erlangten innerhalb von Minuten Domain Admin-Privilegien und setzten Ryuk in gesamten Netzwerken ein. Dies führte zu weit verbreiteter Datenverschlüsselung, Betriebsstörungen und Forderungen nach Lösegeld in Millionenhöhe.

Cuba-Ransomware (2023)

Im Jahr 2023 nutzte die Cuba-Ransomware-Gruppe die Zerologon-Schwachstelle (CVE-2020-1472), um Ransomware zu verbreiten und Daten zu exfiltrieren. Zu den Opfern gehörten kritische Infrastrukturen, Finanzdienstleistungen und IT-Anbieter.

Nachdem sie zunächst Zugang erlangt hatten, nutzten sie Zerologon, um die Passwörter von Maschinenkonten des Domain-Controllers zurückzusetzen, Domain-Admin-Rechte zu erlangen und anschließend Cuba-Ransomware in Netzwerken zu verbreiten. Dies führte zu verschlüsselten Systemen, Datendiebstahl und Forderungen nach doppeltem Lösegeld, mit der Drohung, Daten zu veröffentlichen, falls das Lösegeld nicht bezahlt wird.

Black Basta

Die Ransomware-Gruppe Black Basta kombiniert Zerologon mit anderen Techniken zur Privilegienerweiterung für eine schnelle Übernahme.

Nachdem sie über Phishing, Social Engineering oder ungepatchte Software-Schwachstellen zunächst Zugang erlangt haben, erhöhen die Angreifer ihre Berechtigungen mit Exploits wie Zerologon und Tools wie Mimikatz. Sobald sie die Kontrolle auf Domänenebene erreicht haben, exfiltrieren Black Basta-Affiliates sensible Daten (oft unter Verwendung von rclone), deaktivieren Verteidigungsmechanismen, löschen Backups und verschlüsseln Systeme für eine doppelte Erpressung.

Zu den Opfern gehören das Gesundheitswesen, die Fertigungsindustrie und öffentliche Dienste. Bis 2024 hat die Gruppe seit ihrem Auftreten Anfang 2022 weltweit über 500-700 Organisationen beeinträchtigt.

Sicherheitsverletzung des städtischen Netzwerks von Austin, Texas (2020)

Im Oktober 2020 erkannte die Stadt Austin, dass russische, staatlich unterstützte Hacker (angeblich die Gruppe „Berserk Bear“) die drahtlose Infrastruktur der Stadt vollständig kompromittiert hatten und dass die Angreifer monatelang Zugang zu internen Systemen hatten, bevor sie entdeckt wurden.

Laut Berichten des Microsoft Threat Intelligence Center verwendeten die Angreifer Exploits, einschließlich Zerologon (CVE-2020-1472), um in das Netzwerk einzudringen.

Stadtbeamte berichteten, dass kritische Systeme nicht betroffen waren und keine persönlichen Daten verloren gingen. Als Reaktion darauf gaben Bundes- und Landesbehörden, einschließlich CISA und FBI, Warnungen heraus und forderten andere Gemeinden auf, ihre Sicherheit zu überprüfen und auf Anzeichen eines Kompromisses zu achten.

Folgen von Zerologon-Angriffen

Ein Zerologon-Angriff kann einer Organisation großen Schaden zufügen. Sobald Angreifer Domain-Admin-Zugriff erhalten, kann der Schaden finanzielle Ressourcen erschöpfen und den Ruf des Unternehmens beschädigen.

Wirkungsbereich

Beschreibung

Finanziell

Direkte Kosten umfassen Lösegeldzahlungen, forensische Untersuchungen, Notfall-IT-Dienste, Reaktions- und Wiederherstellungsaufwendungen sowie regulatorische Gebühren.

Indirekte Kosten können entgangene Einnahmen durch Ausfallzeiten, höhere Prämien für Cyber-Versicherungen und langfristige Investitionen in neue Sicherheitsinfrastruktur umfassen. Öffentliche Unternehmen können auch einen Rückgang des Aktienwerts und erhöhte Kapitalkosten erleiden.

Operational

Ein kompromittierter DC kann Authentifizierungsdienste im gesamten Unternehmen lahmlegen, wie Anmeldungen für E-Mail, Dateifreigaben, ERP und Cloud-Anwendungen. Es kann zu unternehmensweiten Ausfällen, stillstehenden Geschäftsoperationen und verlängerten Ausfallzeiten für kritische Systeme führen.

Wenn Mitarbeiter keinen Zugang zu kritischen Systemen haben, können Produktionslinien stillstehen und Kundendienste (wie E-Commerce oder Patientenportale) können tagelang oder wochenlang offline sein.

Reputational

Kunden, Partner und Investoren verlieren das Vertrauen, wenn die Kernsicherheit eines Unternehmens versagt. Negative Presseberichte, Gegenreaktionen in sozialen Medien und Herabstufungen durch Analysten können auch nach der Wiederherstellung der Systeme anhalten, was es schwieriger macht, neues Geschäft zu gewinnen oder bestehende Kunden zu halten.

Rechtliche/Regulatorische

Verstöße, die persönliche oder regulierte Daten (Gesundheitsakten, Finanzdaten, Regierungsunterlagen) offenlegen, können unter GDPR, HIPAA oder CCPA obligatorische Benachrichtigungen über Datenschutzverletzungen und Bußgelder auslösen. Organisationen können auch mit Klagen, Aktionärsklagen und Prüfungen durch Regulierungsbehörden konfrontiert werden.

Häufige Ziele von Zerologon-Angriffen: Wer ist gefährdet?

Zerologon kann jede Organisation gefährden, die Active Directory ausführt, aber einige Umgebungen sind anfälliger als andere oder tendieren dazu, für Angreifer verlockender zu sein.

Großunternehmen

Große Unternehmen mit umfangreichen AD-Wäldern und vielen Domänencontrollern müssen sich oft mit aufwendigen Patch- und Änderungsmanagementprozessen auseinandersetzen. Dies erleichtert es Angreifern, einen ungepatchten DC zu finden und sich seitlich durch das Netzwerk zu bewegen.

Regierungsbehörden

Öffentliche Einrichtungen sind häufig von Altsystemen abhängig und haben möglicherweise langsamere Zykluszeiten für das Aufspielen von Patches. Angreifer setzen auf diese Verzögerungen, um bekannte Schwachstellen auszunutzen, bevor Updates angewendet werden.

Anbieter kritischer Infrastrukturen

Sektoren wie Energie, Gesundheitswesen und Verkehr sind hochwertige Ziele, da selbst eine kurze Unterbrechung erhebliche sozioökonomische und öffentliche Sicherheitsfolgen haben kann. Je größer die Störung, desto höher die Wahrscheinlichkeit einer Lösegeldzahlung.

Bildungseinrichtungen

Universitäten und Schulbezirke verwalten riesige, vielfältige Nutzerbasen, gemischte Geräteumgebungen mit nicht verwalteten Endpunkten und begrenzte Cybersicherheitsressourcen. Dies schafft eine breite Angriffsfläche, die schwer kontinuierlich zu überwachen ist.

Kommunal- und Lokalverwaltungen

Diese Einrichtungen arbeiten mit begrenzter IT-Sicherheit und veralteter Technologie. Vorfälle wie der Netzwerkbruch der Stadtverwaltung von Austin, Texas, zeigen, wie schnell Angreifer diese Lücken ausnutzen können, um wesentliche Dienste zu stören.

Gemischte Plattformumgebungen

Organisationen, die Linux, macOS oder IoT-Geräte mit Active Directory verbinden, können Sicherheitslücken offen lassen. Wenn nicht-Windows-Systeme nicht vollständig gepatcht oder überwacht werden, können Angreifer Sicherheitskontrollen umgehen.

Risikobewertung

Zerologon stellt eine ernsthafte Gefahr dar, die durchweg die höchste Risikobewertung erhält. Die Schwachstelle ermöglicht es Angreifern, mit relativer Leichtigkeit die gesamte AD-Umgebung einer Organisation zu übernehmen, sobald sie Netzwerkzugang erlangt haben.

Microsoft und wichtige Sicherheitsframeworks stufen Zerologon (CVE-2020-1472) ganz oben auf ihren Schweregradskalen ein. Das bedeutet, dass sie Zerologon als eine dringende, hochwirksame Schwachstelle ansehen, die sofortige Aufmerksamkeit erfordert.

  • Microsoft Security Advisory – Stufte es als Kritisch ein, was die höchste Schweregradbewertung von Microsoft ist.
  • CVSS v3.1 Score – Erhielt eine 10,0 (Kritisch), die höchstmögliche Punktzahl, was die Einfachheit der Ausnutzung und das Potenzial für eine vollständige Übernahme der Domäne widerspiegelt.
  • CISA / US-Regierung – Fügte CVE-2020-1472 zum Known Exploited Vulnerabilities (KEV) Katalog hinzu und gab mehrere Notfallrichtlinien heraus, die zu sofortigen Patchvorgängen auffordern.

Betrachten wir auch einige weitere Risikofaktoren:

Risikofaktor

Level

Potenzieller Schaden

Äußerst hoch

Ein erfolgreicher Exploit gewährt vollständige Kontrolle über den Domain-Controller, ermöglicht einen vollständigen Domain-Kompromiss, großangelegten Datendiebstahl und schnelle Ransomware-Implementierung.

Einfachheit der Ausführung

Hoch

Nachdem sie Netzwerkzugriff auf den DC erlangt haben, benötigen Angreifer nur minimale technische Fähigkeiten, da sie Zerologon mit öffentlich verfügbaren Proof-of-Concept (PoC)-Skripten ausnutzen können.

Wahrscheinlichkeit

Hoch

Die Schwachstelle wurde weltweit aktiv von Ransomware-Gruppen und APT-Akteuren ausgenutzt.

Wie man einen Zerologon-Angriff verhindert

Um einen Zerologon-Angriff zu verhindern, sollten Organisationen eine Kombination aus zeitnahen Patches, stärkeren Authentifizierungskontrollen und aktiver Überwachung benötigen.

Patchen Sie umgehend

Installieren Sie Microsofts Sicherheitsupdates von August 2020 und Februar 2021 ohne Verzögerung auf jedem Domain-Controller. Diese Patches schließen die Netlogon-Kryptografieschwachstelle und erzwingen sichere Kanalschutzmaßnahmen, die den Zerologon-Exploit stoppen.

Durchsetzung von Secure RPC

Erzwingen Sie sichere RPC (Remote Procedure Call)-Verbindungen, indem Sie den FullSecureChannelProtection-Registrierungsschlüssel und die entsprechenden Gruppenrichtlinieneinstellungen aktivieren. Dies zwingt den gesamten Netlogon-Verkehr, verschlüsselte, signierte Kanäle zu verwenden. Diese Maßnahme verhindert, dass Angreifer die Sicherheit von Netlogon-Verbindungen herabstufen, was es ihnen erschwert, legitime Domaincontroller-Kommunikation zu manipulieren oder zu imitieren.

Beschränken Sie Nicht-Windows-Geräte

Segmentieren oder kontrollieren Sie streng Linux-, macOS- und IoT-Geräte, die sich bei Active Directory authentifizieren, insbesondere solche, die versuchen, sich mit erhöhten Privilegien zu verbinden oder schwächere Authentifizierungsmethoden zu verwenden. Nicht gepatchte oder falsch konfigurierte Non-Windows-Endpunkte können Sicherheitskontrollen untergraben.

Implementieren Sie MFA

Setzen Sie MFA durch, insbesondere für alle privilegierten und Dienstkonten. Obwohl Zerologon die Authentifizierung umgeht, dient MFA als wichtige Verteidigungslinie nach einem ersten Kompromiss oder bei anderen Angriffsarten, bei denen Anmeldeinformationen gestohlen werden könnten. Eine zusätzliche Überprüfung verringert erheblich die Chance, dass gestohlene Anmeldeinformationen allein laterale Bewegungen oder Privilegienerweiterungen ermöglichen.

Überwachen Sie verdächtige Aktivitäten

Verfolgen Sie die Ereignis-ID 4742 (Änderungen an Computerkonten) und Netlogon-Verbindungsereignisse 5827–5831, die wiederholte fehlgeschlagene Authentifizierungen oder unerwartete Passwortzurücksetzungen aufdecken können – alles Frühwarnzeichen eines versuchten Exploits. Durch die aktive Überwachung dieser und anderer relevanter Sicherheitsereignisse können Organisationen verdächtige Aktivitäten schnell erkennen, versuchte Ausnutzungen feststellen und eine Incident Response einleiten, um Schäden zu begrenzen.

Netwrix Lösungen - Wie Netwrix helfen kann

Um Zerologon-Angriffe zu verhindern, können Produkte von Netwrix wie Netwrix Auditor von entscheidender Bedeutung sein. Auditor ermöglicht es Organisationen, kontinuierlich Änderungen an kritischen Einstellungen und Konfigurationen innerhalb von Active Directory zu überwachen, anomales Verhalten zu erkennen und Administratoren über unbefugte Änderungen oder verdächtige Aktivitäten zu alarmieren. Indem Abweichungen von Basiskonfigurationen verfolgt und Echtzeit-Transparenz bereitgestellt wird, hilft Netwrix Auditor Organisationen dabei, Versuche der Privilegienerweiterung, wie sie durch Zerologon ermöglicht werden, schnell zu erkennen und einzudämmen.

  • Echtzeitüberwachung: Netwrix Auditor überwacht kontinuierlich Änderungen an Active Directory, einschließlich Konfigurationen von Domänencontrollern, Mitgliedschaften in Sicherheitsgruppen und Gruppenrichtlinieneinstellungen. Es kann Echtzeitwarnungen an Administratoren senden, wenn eine unbefugte Änderung vorgenommen wird oder wenn kritische Einstellungen geändert werden. Auf diese Weise können Admins schnell jegliche Änderungen untersuchen, die auf einen Angriff hindeuten könnten.
  • Anomalieerkennung: Die Auditor’s User Behavior and Anomaly Detection (UBAD) Engine verwendet maschinelles Lernen, um ungewöhnliche Kontoverhaltensweisen zu markieren, wie plötzliche Privilegienerhöhungen, wiederholte fehlgeschlagene Anmeldungen oder unerwartete Passwortzurücksetzungen, die auf einen Zerologon-ähnlichen Exploit hindeuten könnten.
  • Compliance-Berichte: Netwrix Auditor bietet vorgefertigte Compliance-Berichte für Rahmenwerke wie HIPAA, PCI DSS und GDPR. Diese detaillierten Berichte helfen zu überprüfen, dass Sicherheitsrichtlinien (wie zeitnahe Patch-Verwaltung, Privileged Access Management und Zugriffskontrolländerungen) strikt befolgt werden, um unbefugten Zugriff zu erkennen und zu verhindern.

Strategien zur Erkennung, Minderung und Reaktion

Um Ihre Organisation vor einem Zerologon-Angriff zu schützen, benötigen Sie einen mehrschichtigen Ansatz: frühzeitige Erkennung verdächtiger Authentifizierungsversuche, schnelles Patchen und Absichern von Domänencontrollern sowie einen Notfallplan für den Fall einer Kompromittierung.

Erkennung

Für die Erkennung von Zerologon-Angriffen sollten Sie auf spezifische Anzeichen einer Ausnutzung achten, anstatt nur generische Anomalien zu beobachten.

  • Netlogon Debug-Protokolle: Überwachen Sie umgehend auf schnelle NetrServerAuthenticate-Fehler, die unmittelbar von einem Erfolg von derselben IP-Adresse gefolgt werden.
  • Paketverfolgungsanalyse: Untersuchen Sie Netzwerkspuren auf Netlogon-Authentifizierungsversuche, die all-zero Client-Anmeldeinformationen verwenden (00:00:00:00:00:00:00:00) und STATUS_SUCCESS zurückgeben.
  • Hash-Analyse: Suchen Sie in der Kontohistorie des Domain-Controllers nach dem bekannten NTLM-Hash 31d6cfe0d16ae931b73c59d7e0c089c0, der auf ein leeres Passwort beim Domain-Controller-Konto hinweist.
  • Event Log Monitoring: Die Windows-Sicherheitsereignis-ID 4742 ist der Protokolleintrag, der „Ein Computerkonto wurde geändert“ in Active Directory aufzeichnet. Wenn Sie dieses Ereignis mit Anmeldetyp: Anonym (oder „Anonymer Anmelder“ als Aufrufer) sehen, bedeutet dies, dass jemand ohne gültige Anmeldeinformationen erfolgreich ein Computerkontenobjekt geändert hat, was darauf hindeutet, dass möglicherweise eine Zerologon-Ausnutzung stattgefunden hat.

Minderung

Organisationen können das Zerologon-Risiko mindern, indem sie bestimmte Praktiken anwenden, wie zum Beispiel:

  • Patchen Sie umgehend: Installieren Sie Microsofts August 2020 und Februar 2021 Updates für CVE-2020-1472 auf jedem Domain-Controller.
  • Durchsetzung von Secure RPC: Aktivieren Sie die FullSecureChannelProtection-Registrierungsrichtlinie/-einstellung und beseitigen Sie alle Richtlinienausnahmen. Dies zwingt den gesamten Netlogon-Verkehr zwischen Domänenmitgliedern und Domänencontrollern dazu, Secure RPC mit starker kryptografischer Authentifizierung zu verwenden, wodurch der Trick mit den Null-Credentials, der beim Zerologon-Exploit verwendet wird, blockiert wird.
  • Angriffsfläche reduzieren: Deaktivieren oder löschen Sie ungenutzte Nicht-Windows-Maschinenkonten in Active Directory, setzen Sie das Prinzip der minimalen Rechtevergabe bei Gruppenmitgliedschaften durch und schalten Sie veraltete Protokolle wie SMBv1 und NTLMv1 ab.
  • Stärkung der Identity Controls: Erfordern Sie Multi-Faktor-Authentifizierung (MFA) für alle privilegierten Konten, um die Auswirkungen bei Diebstahl von Anmeldeinformationen zu begrenzen.
  • Erweitertes Monitoring: Setzen Sie EDR- und SIEM-Lösungen ein, um anomale Authentifizierungsmuster in Echtzeit zu erkennen.

Antwort

Wenn Sie einen Zerologon-Einbruch vermuten oder bestätigen, handeln Sie schnell und methodisch:

  • Isolieren Sie den betroffenen DC: Trennen Sie den kompromittierten Domain-Controller vom Netzwerk, um die Aktivitäten des Angreifers zu stoppen. Dies umfasst das Abziehen physischer Netzwerkkabel, das Blockieren allen Netzwerkverkehrs zum und vom DC sowie das Deaktivieren von Netzwerkschnittstellen.
  • Zurücksetzen der Anmeldeinformationen: Ändern Sie das Passwort des Maschinenkontos des DC in einen langen, zufälligen Wert.
  • Vertrauen wiederherstellen: Stellen Sie die Vertrauensbeziehungen für alle betroffenen Maschinen und Dienstkonten wieder her. Sie können das Netdom-Kommandozeilen-Tool verwenden, um den sicheren Kanal für jeden Client und Server zurückzusetzen, oder PowerShell-Skripte nutzen, um den Prozess zu automatisieren.
  • Rotation von Privileged Secrets: Setzen Sie alle administrativen Anmeldeinformationen zurück, einschließlich des KRBTGT-Kontos, um gestohlene Hashes und Kerberos-Tickets zu invalidieren. Das KRBTGT-Konto ist der "Hauptschlüssel" für Kerberos in einer Domäne. Ein Angreifer, der dessen Hash besitzt, kann "Golden Tickets" erstellen, um jeden Benutzer zu imitieren. Als Best Practice sollte das Passwort für dieses Konto zweimal zurückgesetzt werden (mit einem vollständigen Kerberos-Ticket-Ablaufzyklus dazwischen).

Führen Sie eine vollständige Forensik durch: Führen Sie eine gründliche Untersuchung durch, um Persistenzmechanismen, laterale Bewegungen und weitere kompromittierte Assets aufzudecken. Achten Sie bei der Forensik auf ungewöhnliche Anmeldeereignisse, neue administrative Konten, geänderte Gruppenmitgliedschaften und verdächtige Prozesse.

Branchenspezifische Auswirkungen

Während die Zerologon-Schwachstelle jede Organisation bedroht, die Active Directory ausführt, kann sie je nach Sektor unterschiedliche Konsequenzen haben. Hier sind Beispiele dafür, wie sie kritische Industrien beeinflussen kann.

Industrie

Auswirkung

Gesundheitswesen

Das Gesundheitswesen ist ein attraktives Ziel für Angreifer. Bei einem ZeroLogon-Angriff können böswillige Akteure sensible Patientendaten stehlen, einschließlich elektronischer Gesundheitsakten (EHRs). Dies gefährdet nicht nur die Privatsphäre der Patienten, sondern kann auch zu Verstößen gegen HIPAA führen, die schwere Strafen nach sich ziehen. Ein Bruch verursacht fast sicher Ausfallzeiten, die die Patientenversorgung verzögern oder medizinische Geräte stören können, die von der Active Directory-Authentifizierung abhängig sind. Und wenn der Angreifer kritische Systeme verschlüsselt, kann dies den Krankenhausbetrieb, die Funktionalität medizinischer Geräte und den Zugang zu Patienteninformationen drastisch beeinträchtigen, was die Patientenversorgung nachteilig beeinflussen kann.

Finanzen

Im Finanzsektor können die Folgen eines ZeroLogon-Angriffs verheerend sein. Indem sie einen Domain-Controller kompromittieren, können Angreifer Zugang zu Anmeldeinformationen für mehrere Systeme erhalten, von Finanzdatenbanken bis hin zu Handelsplattformen. Dies kann zu betrügerischen Transaktionen, Datenexfiltration, unbefugtem Zugriff auf Kundendaten im Finanzbereich und der Manipulation von Finanzunterlagen führen. Finanzinstitute können auch kostspielige regulatorische Strafen unter PCI DSS und SOX erleiden, gefolgt von einem Verlust des Kundenvertrauens.

Einzelhandel

In der Einzelhandelsbranche können Angreifer Point-of-Sale (POS)-Systeme kompromittieren, Kreditkartendaten und andere Kundeninformationen stehlen. Zusätzlich können sie Ransomware in Lieferkettennetzwerken einsetzen, was Logistik und Bestandsmanagement zum Stillstand bringt. Dies könnte zu einem kompletten Stillstand der Geschäftstätigkeit, erheblichen finanziellen Verlusten, rechtlichen Haftungen und Schäden am Markenimage führen.

Entwicklung von Angriffen & Zukunftstrends

Cyberkriminelle werden mit Zerologon schlauer. Sie automatisieren Angriffe, nutzen KI-Tools, um schnell ungepatchte Domain-Controller zu erkennen und konzentrieren sich auf alte Systeme, die nicht aktualisiert werden können. Das bedeutet, dass die Lücke zwischen Entdeckung und Kompromittierung schrumpft, daher sind schnelles Patchen, ständige Überwachung und strenge Netzwerkkontrollen entscheidend.

Erhöhte Automatisierung

Angreifer bauen nun Zerologon-Exploits direkt in automatisierte Ransomware-Toolkits und Playbooks ein, was es ihnen ermöglicht, innerhalb von Minuten eine Domäne zu übernehmen. Diese Automatisierung bedeutet, dass sie schneller und mit weniger technischem Können als zuvor das Netzwerk scannen, eindringen und durchqueren können. In vielen Fällen schlagen sie zu, bevor die Sicherheitsteams es überhaupt bemerken.

Tipp für Verteidiger: Konzentrieren Sie sich auf schnelle Erkennung (Netlogon-Protokolle, Paketerfassung) und automatisieren Sie das Patch-Management, damit die Behebung mit automatisierten Angriffen Schritt halten kann.

Integration mit KI-gesteuerter Aufklärung

Angreifer beginnen damit, automatisiertes Scannen mit KI zu kombinieren, um anfällige Domain-Controller schneller zu finden. Ihre Werkzeuge können Hinweise im Netzwerk erkennen, vorhersagen, welche Server ungepatcht sind oder veraltete Protokolle verwenden, und die wertvollsten Domain-Controller auswählen. KI hilft ihnen sogar dabei, den richtigen Zeitpunkt und Angriffsweg zu wählen, basierend auf beobachtetem Netzwerkverhalten, was die Angriffe präziser und schwerer vorhersehbar macht.

Tipp für Verteidiger: Verbessern Sie die Netzwerkhygiene und Überwachung. Füttern Sie EDR und SIEM mit reichhaltigerem Kontext, damit Ihre eigenen Analysen diese Bedrohungen erkennen und blockieren können.

Fortgesetztes Targeting von Legacy-Systemen

Altsysteme und vom Netz isolierte Systeme, die keine Updates vom Anbieter mehr erhalten, bleiben ein bevorzugtes Ziel. Angreifer suchen nach Umgebungen, in denen Ausnahmen oder Erlaubnislisten für die Rückwärtskompatibilität existieren (beispielsweise Systeme, die sich auf ältere Netlogon-Verhaltensweisen oder nicht unterstützte Betriebssystemversionen verlassen). Sobald Angreifer diese Maschinen infiltrieren, können sie sie als langfristige Stützpunkte für wiederholte Angriffe nutzen.

Tipp für Verteidiger: Wenn Sie diese Systeme nicht patchen können, isolieren Sie sie vom Rest des Netzwerks, wenden Sie ausgleichende Kontrollen an (Netzwerksegmentierung, strenge Firewall-Regeln und Jump-Server), entfernen Sie unnötige Protokolle und markieren Sie sie als hochriskant für strenge Überwachung.

Wichtige Statistiken & Infografiken

Die Zerologon-Schwachstelle (CVE-2020-1472) wurde schnell zu einer der am meisten diskutierten Bedrohungen für Windows, da sie leicht auszunutzen ist und enormen Schaden verursachen kann. Diese Zahlen zeigen, wie entscheidend es ist, schnell zu patchen und mit starken, proaktiven Verteidigungsmaßnahmen voraus zu sein.

  • CVSS ScoreDie Schwachstelle erhielt die maximale CVSS-Basisbewertung von 10.0, was die Einfachheit der Ausnutzung, die Möglichkeit, Domain-Admin-Rechte ohne Anmeldeinformationen zu erlangen, und das Potenzial für einen vollständigen Domain-Kompromiss widerspiegelt.
  • Erfolgsrate bei der AusnutzungForscher haben herausgefunden, dass ein einzelner Zerologon-Versuch etwa eine 0,39%ige Erfolgschance hat, was bedeutet, dass ein Angreifer normalerweise nur etwa 256 Versuche benötigt, um das Maschinenpasswort eines Domain-Controllers zurückzusetzen. Da diese Versuche skriptgesteuert werden können, kann ein Kompromiss in weniger als einer Minute erfolgen.
  • Verzögerung bei der Patch-ÜbernahmeObwohl Microsoft im August 2020 und erneut im Februar 2021 Patches veröffentlicht hat, zeigen Branchenstudien, dass die durchschnittliche Mean Time to Patch (MTTP) für kritische Windows-Schwachstellen 60 bis 150 Tage nach Veröffentlichung beträgt. Diese Verzögerung bietet Angreifern ein großes Zeitfenster, um ungepatchte Systeme auszunutzen.

Hier ist ein Balkendiagramm, das diese Statistiken hervorhebt.

Image

Abschließende Gedanken

Die Zerologon-Schwachstelle wurde erstmals 2020 von dem Sicherheitsforscher Tom Tervoort von Secura aufgedeckt. Microsoft veröffentlichte am 11. August 2020 einen kritischen Patch als Teil seiner monatlichen Patch Tuesday Updates. Nachdem der Fix verfügbar war, veröffentlichte Secura im September 2020 einen detaillierten technischen Bericht, in dem Zerologon erklärt wurde, was mehr Aufmerksamkeit auf den Fehler lenkte und andere dazu ermutigte, öffentliche Proof-of-Concept-Exploits zu erstellen.

Zerologon ist eine Erinnerung daran, dass ein einziger übersehener Fehler ein gesamtes Windows-Domäne gefährden kann. Die Einfachheit der Ausführung, die kritische Auswirkung und die langsame Patch-Übernahme haben zu seiner Beliebtheit beigetragen, während sie die Notwendigkeit für zeitnahe Patching, kontinuierliches Monitoring, starke Identitätskontrollen und getestete Incident-Response-Pläne hervorheben.

FAQs

Teilen auf

Zugehörige Cybersecurity-Angriffe anzeigen

Missbrauch von Entra ID-Anwendungsberechtigungen – Funktionsweise und Verteidigungsstrategien

AdminSDHolder-Modifikation – Funktionsweise und Verteidigungsstrategien

AS-REP Roasting Attack - Funktionsweise und Verteidigungsstrategien

Hafnium-Angriff - Funktionsweise und Verteidigungsstrategien

DCSync-Angriffe erklärt: Bedrohung für die Active Directory Security

Golden SAML-Angriff

Verständnis von Golden Ticket-Angriffen

Angriffe auf Group Managed Service Accounts

DCShadow-Angriff – Funktionsweise, Beispiele aus der Praxis & Verteidigungsstrategien

ChatGPT Prompt Injection: Risiken, Beispiele und Prävention verstehen

NTDS.dit-Passwortextraktionsangriff

Pass-the-Hash-Angriff

Pass-the-Ticket-Attacke erklärt: Risiken, Beispiele & Verteidigungsstrategien

Password-Spraying-Angriff

Angriff zur Extraktion von Klartext-Passwörtern

Kerberoasting-Angriff – Funktionsweise und Verteidigungsstrategien

Ransomware-Angriffe auf Active Directory

Active Directory mit dem Skeleton Key-Angriff entsperren

Laterale Bewegungen: Was es ist, wie es funktioniert und Präventionsmaßnahmen

Man-in-the-Middle (MITM)-Angriffe: Was sie sind & Wie man sie verhindert

Warum ist PowerShell so beliebt bei Angreifern?

4 Angriffe auf Dienstkonten und wie man sich dagegen schützt

Wie Sie Malware-Angriffe daran hindern, Ihr Geschäft zu beeinträchtigen

Was ist Credential Stuffing?

Kompromittierung von SQL Server mit PowerUpSQL

Was sind Mousejacking-Angriffe und wie kann man sich dagegen verteidigen

Diebstahl von Anmeldeinformationen mit einem Security Support Provider (SSP)

Rainbow-Table-Attacken: Wie sie funktionieren und wie man sich dagegen verteidigt

Ein umfassender Blick auf Passwortangriffe und wie man sie stoppt

LDAP-Aufklärung

Umgehen der MFA mit dem Pass-the-Cookie-Angriff

Silver Ticket Attack