Microsoft: Hackere udnytter aktivt Zerologon-fejl

Zerologon-fejlen giver trusselsaktører mulighed for at overtage virksomhedsnetværk.

Microsoft har dag via Twitter advaret i dag om, at den iransk-støttede MuddyWater cyberspionagegruppe har forsøgt at udnytte ZeroLogon-fejlen i de seneste to uger. Det skriver Bleeping Computer.

Zerologon er en fejl, der blev rettet ved Patch Tuesday i august, og som CISA en måned senere advarede om, da en exploit blev offentlig tilgængelig. Efter yderligere en uge pålagde CISA føderale enheder i USA at handle på den via en det sjældent brugte Emergency Directive.

Windows Server Zerologon-sårbarheden

Zerologon er en kritisk sikkerhedsfejl, der gør det muligt for angribere at hæve privilegier til en domæneadministrator. Fejlen har en score på 10 på CVSS-skalen. Hvis fejlen bliver udnyttet, kan angribere kan tage kontrol over hele domænet, ændre enhver brugers adgangskode og udføre vilkårlige kommandoer.

Microsoft har udsendt følgende liste med forslag til følgende handlinger:

  • Opdater dine domænecontrollere med den opdatering, der blev frigivet den 11. august 2020, eller senere opdateringer.
  • Find ud af, hvilke enheder enheder der opretter sårbare forbindelser ved at overvåge hændelseslogfiler.
  • Adresser ikke-kompatible enheder, der opretter sårbare forbindelser.
  • Aktiver håndhævelsestilstand for at adressere CVE-2020-1472 i miljøet.

Links:

https://www.bleepingcomputer.com/news/security/microsoft-iranian-hackers-actively-exploiting-windows-zerologon-flaw/

https://techcommunity.microsoft.com/t5/microsoft-365-defender/zerologon-is-now-detected-by-microsoft-defender-for-identity-cve/ba-p/1734034

https://support.microsoft.com/da-dk/help/4557222/how-to-manage-the-changes-in-netlogon-secure-channel-connections-assoc