Viele Organisationen nutzen Microsoft Active Directory (AD) als zentralen Bestandteil ihrer IT-Infrastruktur. AD ist ein Verzeichnisdienst, der Informationen über Benutzerkonten und Netzwerkressourcen speichert sowie Authentifizierungs- und Autorisierungsdienste bereitstellt. Im Jahr 2020 veröffentlichte Sicherheitsforscher Tom Tervoort Details zu einer kritischen Schwachstelle in AD: Zerologon (CVE-2020-1472). Diese Schwachstelle ermöglichte es Angreifern, durch die Ausnutzung eines Fehlers im Windows Netlogon Remote Protocol ohne vorherige Authentifizierung Domänenadministratorrechte zu erlangen, was zur vollständigen Kompromittierung einer AD-Domäne führen konnte. Microsoft stellte daraufhin über mehrere Monate hinweg zwei Sicherheitsupdates zur Behebung des Problems bereit.
Forscher der Ruhr-Universität Bochum haben jedoch nun herausgefunden, dass die Patches nicht ausreichen, um die Schwachstelle vollständig zu beheben. In ihrem Paper „Onelogon: Taking over Active Directory Accounts via Netlogon“ (Alexander Neff, Tobias Holl, Kevin Borgolte) zeigen sie, dass Angreifer*innen auf zwei Wegen in nur 33 Minuten Kontrolle über bestimmte AD-Konfiguratoren erhalten können – und im schlimmsten Fall die komplette Domäne übernehmen können. Grund hierfür ist, wie bei Zerologon, eine falsche Nutzung der AES-CFB8 Verschlüsselung, die bei Netlogon genutzt wird.
Onelogon: Eine neue Bedrohung
Onelogon ist eine neue Art von Angriff, die die von Microsoft implementierten Sicherheitsmaßnahmen umgehen kann. Die Forscher haben zwei Varianten von Onelogon entwickelt, die es beiden Angreifern ermöglichen kann, AD-Konten zu übernehmen und in bestimmten Fällen die gesamte Domäne in weniger als 40 Minuten zu kontrollieren. Die Schwachstelle beruht auf einem kryptographischen Fehler im Netlogon-Protokoll, der durch die Zerologon-Patches nicht ausreichend behoben wurde.
Verantwortungsvolle Offenlegung
Die Forscher haben ihre Erkenntnisse im Dezember 2025 verantwortungsvoll an Microsoft gemeldet, um Microsoft die Möglichkeit zu geben, die Schwachstelle zu beheben oder Dokumentation zur Schadensminderung bereitzustellen. Leider plant Microsoft nach Wissen der Forscher keine zusätzlichen Patches oder detaillierte Anleitungen zur Verfügung zu stellen. Um Administratoren und Betreibern von AD-Domänen daher die Möglichkeit zu geben selbst zu analysieren, ob eigene AD-Domänen verwundbar sind und dann die Schwachstelle selbst zu beheben, haben die Forscher ihre Prototyp-Implementierung öffentlich gemacht.
Empfehlungen und Schutzmaßnahmen
Die Forscher geben praktische Empfehlungen, wie Unternehmen sich vor diesen Angriffen schützen können. Dazu gehört die Behebung der Schwachstelle an ihrer Wurzel und die Implementierung von Maßnahmen, die die Sicherheit der Netzwerke verbessern, ohne die Kompatibilität mit älteren Systemen zu beeinträchtigen. Administratoren können auch Tools verwenden, um laufende und erfolgreiche Angriffe zu erkennen.
https://softsec.link/woot26.onelogon
Allgemeiner Hinweis: Mit einer möglichen Nennung von geschlechtszuweisenden Attributen implizieren wir alle, die sich diesem Geschlecht zugehörig fühlen, unabhängig vom biologischen Geschlecht.