Microsoft алармира за регистрирани от тях атаки, които експлоатират ZeroLogon, предава BleepingComputer.
CVE-2020-1472 или както беше кръстена по-късно ZeroLogon, представлява критична уязвимост в Netlogon и засяга всички версии на Windows Server. Успешното експлоатиране на проблема води до неразрешено повишение на привилегиите на атакуващата страна без нуждата от това тя да се е авторизирала пред сървъра и получаването на достъп до администраторския домейн контролер. Въпросната уязвимост беше адресирана от Microsoft през август.
Още през септември компанията регистрира атаки към ZeroLogon от страна на кибершпионската групировка MuddyWater (SeedWorm). Този път атаките също идват от известна на специалистите група – хакерски колектив, познат под името TA505. Групировката е известна от няколко години, като в историята си те разпространяват различни семейства зловредни програми с финансова цел. За последно е известно, че в атаките си доставят рансъмуер заплаха с името Ciop. При една от тези атаки – към Университета на Маастрихт – те прибират откуп в размер на $220 000.
В настоящата кампания, която атакува ZeroLogon, TA505 доставят към системите фалшиви софтуерни обновления, които след инсталирането си се свързват към сървърите на престъпниците. Фалшивите обновления успяват да изключат защитата, предоставяна от системата на User Account Control и им позволява да изпълняват зловреден код към нея. След това, те компилират с помощта на Microsoft Build Engine версия на Mimikatz, инструмент с открит код за извличане пароли и друга чувствителна информация от Windows системи, която има експлойт код за ZeroLogon.
„Това, което Microsoft описва в кратката публикация представлява класически пример за атака с цел превземане на домейн контролера, при която ZeroLogon се явява перфектната добавка. Той предлага директен достъп до домейн контролера, така че на атакуващата страна не ѝ се налага повече да изразходва време, за да се сдобие със администраторските записи за вписване. С присъствието на TA505, замесени в бизнеса с рансъмуер, организациите трябва да приоритизират налагането на обновленията по сигурността за тази уязвимост, понеже атаките, подобни на тази описана от Microsoft вероятно ще се случват все по-често“, пишат от Bleeping.
