Author Topic: ET EXPLOIT Possible Zerologon (Read 1402 times)

Longtiger · « **on:** November 03, 2021, 01:18:17 pm »

Hallo zusammen,

nachdem ich neu in meine jetzige Firma gekommen bin und zum ersten mal mich mit der OPNsense beschäftigt habe ich viele geblockte Aktionen in unseren OPNsensen feststellen müssen.

Zur Erklärung: Unser beiden Standorte sind jeweils über eine OPNsense über das Internet mit einander verbunden. Es gibt an einem Standort einen DC und einem Datenserver, der auch den 2. Standort mit versorgt. Wenn Rechner am 2. Standort hochfahren (noch bevor sich jemand im Netz anmeldet) blockt die die OPNsense am 2. Standort die mit dem Alarm
„ET EXPLOIT Possible Zerologon NetrServerReqChallenge with 0x00 Client Challenge (CVE-2020-1472)“
den Zugriff auf die Gruppenrichtlinienverwaltung unseres Windows-Server von allen Arbeitsstationen, obwohl dieser und auch die Rechner alle Updates erhalten haben. Dieses Problem sollte seit 02/21 von Microsoft gepatcht sein.

Ist das Problem meiner OPNsense-Konfiguration und wie kann ich dieses Problem beheben. Über Hinweise wäre ich euch dankbar.

Vielen Dank und viele Grüße
Torsten

lfirewall1243 · « **Reply #1 on:** November 04, 2021, 09:00:23 am »

Quote from: Longtiger on November 03, 2021, 01:18:17 pm

Hallo zusammen,

nachdem ich neu in meine jetzige Firma gekommen bin und zum ersten mal mich mit der OPNsense beschäftigt habe ich viele geblockte Aktionen in unseren OPNsensen feststellen müssen.

Zur Erklärung: Unser beiden Standorte sind jeweils über eine OPNsense über das Internet mit einander verbunden. Es gibt an einem Standort einen DC und einem Datenserver, der auch den 2. Standort mit versorgt. Wenn Rechner am 2. Standort hochfahren (noch bevor sich jemand im Netz anmeldet) blockt die die OPNsense am 2. Standort die mit dem Alarm
„ET EXPLOIT Possible Zerologon NetrServerReqChallenge with 0x00 Client Challenge (CVE-2020-1472)“
den Zugriff auf die Gruppenrichtlinienverwaltung unseres Windows-Server von allen Arbeitsstationen, obwohl dieser und auch die Rechner alle Updates erhalten haben. Dieses Problem sollte seit 02/21 von Microsoft gepatcht sein.

Ist das Problem meiner OPNsense-Konfiguration und wie kann ich dieses Problem beheben. Über Hinweise wäre ich euch dankbar.

Vielen Dank und viele Grüße
Torsten

Ich denke es handelt sich dabei um einen False Positive oder eines der Geräte ist doch noch nicht gepatched.

Was wird denn als Quell-IP und Ziel-IP angezeigt?

Longtiger · « **Reply #2 on:** November 04, 2021, 09:37:45 am »

Die Rechner am 2. Standort und auch die Server sind gepatcht, das habe ich noch einmal nachgeprüft. Die Quell-IP sind die jeweiligen Rechner am 2. Standort und die Ziel-IP sind beim Hochfahren der Rechner der DC über verschiedene Ports und später der File-Server über den Port 445.

lfirewall1243 · « **Reply #3 on:** November 04, 2021, 09:49:40 am »

Quote from: Longtiger on November 04, 2021, 09:37:45 am

Die Rechner am 2. Standort und auch die Server sind gepatcht, das habe ich noch einmal nachgeprüft. Die Quell-IP sind die jeweiligen Rechner am 2. Standort und die Ziel-IP sind beim Hochfahren der Rechner der DC über verschiedene Ports und später der File-Server über den Port 445.

Dann handelt es sich wahrscheinlich um einen False Positive.
Du kannst die Aktion von Block auf Altert umstellen.

Author Topic: ET EXPLOIT Possible Zerologon (Read 1402 times)

Longtiger

ET EXPLOIT Possible Zerologon

lfirewall1243

Re: ET EXPLOIT Possible Zerologon

Longtiger

Re: ET EXPLOIT Possible Zerologon

lfirewall1243

Re: ET EXPLOIT Possible Zerologon