Die Cybersicherheitsabteilung der US-Ministeriums Homeland Security DHS, verantwortlich für die innere Sicherheit, hat den zivilen US-Bundesbehörden befohlen, einen spezifischen Security-Patch für Windows-Server zu installieren.

Von der Lücke namens "Zerologon" (CVE-2020-1472) gehe ein "inakzeptables Risiko" für die Netzwerke der US-Behörden aus. Die Anordnung des DHS hat den Status einer "Notfall-Direktive", ein laut 'Zdnet' selten genutzter rechtlicher Mechanismus, durch den US-Regierungsbeamte die Bundesbehörden zur Ergreifung von Massnahmen zwingen können.

Einen Patch gibt es von Microsoft seit August 2020 unter dem Titel "Netlogon Elevation of Privilege Vulnerability" und das Risiko könnte jedermann bekannt sein: Diese Schwachstelle CVE-2020-1472 erhielt mit 10,0 die höchste CVSS-Bewertung, vom BSI die Risiko-Einstufung "sehr hoch" und wird von Microsoft als "kritisch" eingestuft.

Dass das DHS nun reagiert, hat damit zu tun, dass die Entdecker, die Security-Firma Secura in einem Blog-Post und einem White Paper erläutert, wie einfach – je nachdem mit einem Klick – die Schwachstelle ausgenutzt werden kann.

Ein Zerologon-PoC vom 14.9. ist auf Github zu finden.

Dieser offensichtlich aufschlussreiche Text wiederum rief Security-Forscher und Kriminelle auf den Plan, welche das Ministerium zur Notfall-Direktive motivierten. Die CISA-Beamten des DHS gaben den US-Systemadministratoren bis zum Ende des heutigen Montags Zeit zum Patchen. Windows-Server, die nicht gepatcht werden können, sind offline zu nehmen und aus dem Netzwerk zu entfernen, befahl das DHS.

CVE-2020-1472 ist eine Schwachstelle aufgrund der unsicheren Verwendung der AES-CFB8-Verschlüsselung für Netlogon-Sitzungen. Das Microsoft Advisory vom August bietet laut Redmond die Lösung gegen "Zerologon".

Das deutsche BSI zählt diese Lücke zu einer Fülle von weiteren, aktuellen Microsoft-Schwachstellen, welche die höchste Risikostufe haben. Die CERT-Meldungen des deutschen Amts zeigen, welche.