ET EXPLOIT Possible Zerologon

Started by Longtiger, November 03, 2021, 01:18:17 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
November 03, 2021, 01:18:17 PM
Hallo zusammen,

nachdem ich neu in meine jetzige Firma gekommen bin und zum ersten mal mich mit der OPNsense beschäftigt habe ich viele geblockte Aktionen in unseren OPNsensen feststellen müssen.

Zur Erklärung: Unser beiden Standorte sind jeweils über eine OPNsense über das Internet mit einander verbunden. Es gibt an einem Standort einen DC und einem Datenserver, der auch den 2. Standort mit versorgt. Wenn Rechner am 2. Standort hochfahren (noch bevor sich jemand im Netz anmeldet) blockt die die OPNsense am 2. Standort die mit dem Alarm
,,ET EXPLOIT Possible Zerologon NetrServerReqChallenge with 0x00 Client Challenge (CVE-2020-1472)"
den Zugriff auf die Gruppenrichtlinienverwaltung unseres Windows-Server von allen Arbeitsstationen, obwohl dieser und auch die Rechner alle Updates erhalten haben. Dieses Problem sollte seit 02/21 von Microsoft gepatcht sein.

Ist das Problem meiner OPNsense-Konfiguration und wie kann ich dieses Problem beheben. Über Hinweise wäre ich euch dankbar.

Vielen Dank und viele Grüße
Torsten
November 04, 2021, 09:00:23 AM #1
Quote from: Longtiger on November 03, 2021, 01:18:17 PM
Hallo zusammen,

nachdem ich neu in meine jetzige Firma gekommen bin und zum ersten mal mich mit der OPNsense beschäftigt habe ich viele geblockte Aktionen in unseren OPNsensen feststellen müssen.

Zur Erklärung: Unser beiden Standorte sind jeweils über eine OPNsense über das Internet mit einander verbunden. Es gibt an einem Standort einen DC und einem Datenserver, der auch den 2. Standort mit versorgt. Wenn Rechner am 2. Standort hochfahren (noch bevor sich jemand im Netz anmeldet) blockt die die OPNsense am 2. Standort die mit dem Alarm
,,ET EXPLOIT Possible Zerologon NetrServerReqChallenge with 0x00 Client Challenge (CVE-2020-1472)"
den Zugriff auf die Gruppenrichtlinienverwaltung unseres Windows-Server von allen Arbeitsstationen, obwohl dieser und auch die Rechner alle Updates erhalten haben. Dieses Problem sollte seit 02/21 von Microsoft gepatcht sein.

Ist das Problem meiner OPNsense-Konfiguration und wie kann ich dieses Problem beheben. Über Hinweise wäre ich euch dankbar.

Vielen Dank und viele Grüße
Torsten

Ich denke es handelt sich dabei um einen False Positive oder eines der Geräte ist doch noch nicht gepatched.

Was wird denn als Quell-IP und Ziel-IP angezeigt?
(Unoffial Community) OPNsense Telegram Group: https://t.me/joinchat/0o9JuLUXRFpiNmJk

PM for paid support
November 04, 2021, 09:37:45 AM #2
Die Rechner am 2. Standort und auch die Server sind gepatcht, das habe ich noch einmal nachgeprüft. Die Quell-IP sind die jeweiligen Rechner am 2. Standort und  die Ziel-IP sind beim Hochfahren der Rechner der DC über verschiedene Ports und später der File-Server über den Port 445.
November 04, 2021, 09:49:40 AM #3
Quote from: Longtiger on November 04, 2021, 09:37:45 AM
Die Rechner am 2. Standort und auch die Server sind gepatcht, das habe ich noch einmal nachgeprüft. Die Quell-IP sind die jeweiligen Rechner am 2. Standort und  die Ziel-IP sind beim Hochfahren der Rechner der DC über verschiedene Ports und später der File-Server über den Port 445.

Dann handelt es sich wahrscheinlich um einen False Positive.
Du kannst die Aktion von Block auf Altert umstellen.
(Unoffial Community) OPNsense Telegram Group: https://t.me/joinchat/0o9JuLUXRFpiNmJk

PM for paid support
Print
Go Up Pages1
User actions