Иранские хакеры активно эксплуатируют уязвимость ZeroLogon

Как сообщает компания Microsoft, иранская кибершпионская группировка MuddyWater (она же MERCURY, SeedWorm и TEMP.Zagros) в течение последних двух недель активно эксплуатирует в своих атаках уязвимость ZeroLogon ( CVE-2020-1472 ).

«MSTIC (Microsoft Threat Intelligence Center – ред.) обнаружил активность финансируемой правительством группировки MERCURY, эксплуатирующей уязвимость CVE-2020-1472 (ZeroLogon) в активных кампаниях в течение последних двух недель. Мы настоятельно рекомендуем установить обновления», – сообщила Microsoft.

Группировка MuddyWater активна как минимум с мая 2017 года. Как правило, ее жертвами становятся телекоммуникационные компании, правительственные IT-сервисы и представители нефтяной промышленности в странах Среднего Востока и Азии.

Напомним, в прошлом месяце Microsoft уже публиковала предупреждение для системных администраторов об активной эксплуатации ZeroLogon в реальных атаках, убеждая их в необходимости установить исправляющие уязвимость августовские обновления безопасности.

ZeroLogon – уязвимость, существующая из-за ненадежного криптографического алгоритма в механизме аутентификации Netlogon. С ее помощью злоумышленник может повысить свои привилегии до администратора домена, захватить контроль над доменом, менять пароли пользователей и выполнять команды.

Поскольку патч для уязвимости может вызывать проблемы с аутентификацией, Microsoft решила выпустить его в два этапа. Первое исправление, выпущенное 11 августа, блокирует контроллеру домена Active Directory возможность использовать незащищенные RPC-соединения и регистрирует запросы аутентификации от устройств, не работающих под управлением Windows и не использующих безопасные каналы RPC (это позволяет администраторам исправить или заменить затронутые устройства).

Второй патч будет выпущен в рамках февральского «вторника исправлений». Он введет принудительный режим, требующий от всех сетевых устройств использовать безопасные каналы RPC, за исключением устройств, получивших от администраторов соответствующие разрешения.

В конце прошлого месяца Microsoft разъяснила администраторам порядок исправления уязвимости ZeroLogon.

Источник: https://www.securitylab.ru/news/512767.php