Microsoft cho biết họ đã phát hiện các cuộc tấn công đang hoạt động tận dụng lỗ hổng Zerologon
Các chuyên gia bảo mật của hãng Microsoft cho biết sáng nay ngày 24/09/2020. Nhóm tin tặc đang tích cực khai thác lỗ hổng Zerologon trong các cuộc tấn công trong thế giới thực nhằm vào các lỗ hỏng bảo mật hệ điều hành Windows.
“Microsoft đang tích cực theo dõi hoạt động của tác nhân đe dọa bằng cách sử dụng khai thác lỗ hổng CVE-2020-1472 Netlogon EoP, được gọi là Zerologon. Chúng tôi đã quan sát thấy các cuộc tấn công trong đó các hoạt động khai thác công khai được đưa vào sách phát của kẻ tấn công “, công ty viết trong một loạt các tweet.
Các cuộc tấn công dự kiến sẽ xảy ra, theo các chuyên gia ngành bảo mật.
Nhiều phiên bản của mã khai thác bằng chứng khái niệm được vũ khí hóa đã được xuất bản trực tuyến dưới dạng tải xuống miễn phí kể từ khi chi tiết về lỗ hổng Zerologon được tiết lộ vào ngày 14 tháng 9 bởi công ty bảo mật Hà Lan Secura BV.
Khai thác bằng chứng khái niệm đầu tiên được xuất bản vài giờ sau bài đăng trên blog giải thích, xác nhận phân tích của Secura rằng lỗi Zerologon rất dễ bị khai thác, ngay cả bởi những kẻ đe dọa có kỹ năng thấp.
Zerologon là gì ?
Giải thích sâu hơn về lỗi Zerologon có sẵn trong phạm vi bảo hiểm ban đầu của chúng tôi về lỗ hổng này, nhưng để đơn giản hóa, lỗi Zerologon là một lỗ hổng trong Netlogon, giao thức được các hệ thống Windows sử dụng để xác thực với một Máy chủ Windows đang chạy dưới dạng bộ điều khiển miền (Domain controller). Việc khai thác lỗi Zerologon có thể cho phép tin tặc chiếm quyền điều khiển miền tài khoản quản trị domain controller trong Active directory và vốn là mạng nội bộ của công ty (LAN).
Cảnh báo chuyên gia bảo mật
Zerologon được nhiều người mô tả là lỗi nguy hiểm nhất được tiết lộ trong năm nay. Cuối tuần qua, DHS đã cho các cơ quan liên bang ba ngày để vá các bộ điều khiển miền hoặc ngắt kết nối chúng khỏi các mạng liên bang.
Trong một cảnh báo vào thứ Hai, CISA cho biết lỗi Zerologon cũng ảnh hưởng đến phần mềm chia sẻ tệp Samba, phần mềm này cũng cần được cập nhật.
Mặc dù Microsoft chưa công bố thông tin chi tiết về các cuộc tấn công, nhưng họ đã phát hành tệp băm cho các khai thác được sử dụng trong các cuộc tấn công.
Như một số chuyên gia bảo mật đã khuyến cáo kể từ khi Microsoft tiết lộ các cuộc tấn công, các công ty có bộ điều khiển miền của họ bị lộ trên internet nên đưa hệ thống ngoại tuyến để vá chúng.
Các máy chủ có thể truy cập internet này đặc biệt dễ bị tấn công vì các cuộc tấn công có thể được thực hiện trực tiếp, mà trước tiên, hacker không cần chỗ đứng trên các hệ thống nội bộ.
Thông báo cho tất cả quản trị viên Microsoft AD! Nếu bạn đủ điên để chạy các máy chủ của mình với kết nối internet trực tiếp – bạn đang gặp nguy hiểm * nghiêm trọng *. Patch #Zerologon như..lần trước!
Dự kiến vài ngày tới Microsoft sẽ ra bản vá cập nhật ván lỗ hổng này nhé, Vì trong hệ thống domain controller mà bị lỗ hổng này thì các System admin chắc đầu cho việc cập nhật hàng loạt
Chúc các bạn mai mắn.