Уязвимость Zerologon активно эксплуатируется в реальных атаках

Уязвимость Zerologon активно эксплуатируется в реальных атаках

Киберпреступники взяли на вооружение исправленную в прошлом месяце уязвимость в Windows Server.

Компания Microsoft рекомендовала пользователям в срочном порядке установить исправление для уязвимости Zerologon, поскольку киберпреступники уже вовсю эксплуатируют ее в атаках.

Zerologon ( CVE-2020-1472 ) представляет собой уязвимость повышения привилегий в Microsoft Windows Server. Проблема связана с использованием ненадежного алгоритма шифрования в механизме аутентификации Netlogon. Zerologon позволяет имитировать любой компьютер в сети в процессе аутентификаци на контроллере домена, отключать функции безопасности Netlogon и изменять пароль в базе данных Active Directory контроллера домена.

Уязвимость была обнаружена исследователями компании Secura и исправлена Microsoft в рамках августовского «вторника исправлений». Zerologon также затрагивает некоторые версии Samba, и разработчики проекта на днях выпустили исправление.

Вскоре после того, как специалисты Secura раскрыли подробности об уязвимости, исследователи безопасности опубликовали свои PoC-эксплоиты. Теперь же за эксплуатацию уязвимости взялись не только исследователи, но и киберпреступники.

«Microsoft активно отслеживает эксплуатацию уязвимости CVE-2020-1472 в Netlogon под названием Zerologon. Мы видели атаки, в которых атакующие использовали публичные эксплоиты», - сообщили в компании.

Microsoft представила три эксплоита, которыми пользуются киберпреступники. Они представляют собой исполняемые файлы на .NET с именем SharpZeroLogon.exe. Все три эксплоита можно найти на VirusTotal ( 1 , 2 , 3 ).

Ищем темную материю и подписчиков!

Одно найти легче, чем другое. Спойлер: это не темная материя

Станьте частью научной Вселенной — подпишитесь