Жертвами становятся крупные компании в странах Среднего Востока и Азии.
Как сообщает компания Microsoft, иранская кибершпионская группировка MuddyWater (она же MERCURY, SeedWorm и TEMP.Zagros) в течение последних двух недель активно эксплуатирует в своих атаках уязвимость ZeroLogon ( CVE-2020-1472 ).
«MSTIC (Microsoft Threat Intelligence Center – ред.) обнаружил активность финансируемой правительством группировки MERCURY, эксплуатирующей уязвимость CVE-2020-1472 (ZeroLogon) в активных кампаниях в течение последних двух недель. Мы настоятельно рекомендуем установить обновления», – сообщила Microsoft.
Группировка MuddyWater активна как минимум с мая 2017 года. Как правило, ее жертвами становятся телекоммуникационные компании, правительственные IT-сервисы и представители нефтяной промышленности в странах Среднего Востока и Азии.
Напомним, в прошлом месяце Microsoft уже публиковала предупреждение для системных администраторов об активной эксплуатации ZeroLogon в реальных атаках, убеждая их в необходимости установить исправляющие уязвимость августовские обновления безопасности.
ZeroLogon – уязвимость, существующая из-за ненадежного криптографического алгоритма в механизме аутентификации Netlogon. С ее помощью злоумышленник может повысить свои привилегии до администратора домена, захватить контроль над доменом, менять пароли пользователей и выполнять команды.
Поскольку патч для уязвимости может вызывать проблемы с аутентификацией, Microsoft решила выпустить его в два этапа. Первое исправление, выпущенное 11 августа, блокирует контроллеру домена Active Directory возможность использовать незащищенные RPC-соединения и регистрирует запросы аутентификации от устройств, не работающих под управлением Windows и не использующих безопасные каналы RPC (это позволяет администраторам исправить или заменить затронутые устройства).
Второй патч будет выпущен в рамках февральского «вторника исправлений». Он введет принудительный режим, требующий от всех сетевых устройств использовать безопасные каналы RPC, за исключением устройств, получивших от администраторов соответствующие разрешения.
В конце прошлого месяца Microsoft разъяснила администраторам порядок исправления уязвимости ZeroLogon.
Одно найти легче, чем другое. Спойлер: это не темная материя