Messages

1

German - Deutsch / Re: ET EXPLOIT Possible Zerologon

« on: November 04, 2021, 09:37:45 am »

Die Rechner am 2. Standort und auch die Server sind gepatcht, das habe ich noch einmal nachgeprüft. Die Quell-IP sind die jeweiligen Rechner am 2. Standort und  die Ziel-IP sind beim Hochfahren der Rechner der DC über verschiedene Ports und später der File-Server über den Port 445.

2

German - Deutsch / ET EXPLOIT Possible Zerologon

« on: November 03, 2021, 01:18:17 pm »

Hallo zusammen,

nachdem ich neu in meine jetzige Firma gekommen bin und zum ersten mal mich mit der OPNsense beschäftigt habe ich viele geblockte Aktionen in unseren OPNsensen feststellen müssen.

Zur Erklärung: Unser beiden Standorte sind jeweils über eine OPNsense über das Internet mit einander verbunden. Es gibt an einem Standort einen DC und einem Datenserver, der auch den 2. Standort mit versorgt. Wenn Rechner am 2. Standort hochfahren (noch bevor sich jemand im Netz anmeldet) blockt die die OPNsense am 2. Standort die mit dem Alarm
„ET EXPLOIT Possible Zerologon NetrServerReqChallenge with 0x00 Client Challenge (CVE-2020-1472)“
den Zugriff auf die Gruppenrichtlinienverwaltung unseres Windows-Server von allen Arbeitsstationen, obwohl dieser und auch die Rechner alle Updates erhalten haben. Dieses Problem sollte seit 02/21 von Microsoft gepatcht sein.

Ist das Problem meiner OPNsense-Konfiguration und wie kann ich dieses Problem beheben. Über Hinweise wäre ich euch dankbar.

Vielen Dank und viele Grüße
Torsten