Af Eskil Sørensen, 12/10/20
Microsoft har observeret en ny trusselaktivitet, der udnytter Zerologon sårbarheden (CVE-2020-1472).
Aktiviteten sker i form af en kampagne, der udgiver sig for at være softwareopdateringer, men som kan forbindes med en kendt TA505 command and control infrastruktur. TA505 er en russisktalende trusselsaktør, der er kendt for at sprede den såkaldte Dridex bank-trojaner og Locky ransomware. De er kendt for at gå målrettet efter finansielle organisationer, og de bruger en række angrebsteknikker for at udøve disse angreb. I dette tilfælde bruger TA505 Zerologon til at oprette en sårbar Netlogon forbindelse til et domænecontroller ved hjælp af MS-NRPC. Med dette behøver de ikke at verificere sig selv for at kunne hæve privilegierne og blive administrator.
TA505 distribuerer en falsk opdatering, der kan føre til en UAC bypass og bruger wscirp (.) exe til at kører ondsindet kode. For at udnytte denne sårbarhed misbruger angriberne MSBuild (.) exe til at compile Mimikatz-opdateringer, som har indbygget Microsoft funktionalitet.
Ikke første gang
Det er ikke første gang, at Zerologon sårbarheden er blevet brugt. Mercury, en iransk APT-gruppe (også kendt som MuddyWater, Static Kitten og Seedworm) har brugt samme sårbarhed i kampagner i løbet af de sidste to uger. Mercury er kendt for at gå målrettede efter regeringsorganisationer, især i Mellemøsten.
Microsoft er i gang med at patche sårbarheden og har gjort dette til dens topprioritet.