Af Eskil Sørensen, 06/10/20
Microsoft har dag via Twitter advaret i dag om, at den iransk-støttede MuddyWater cyberspionagegruppe har forsøgt at udnytte ZeroLogon-fejlen i de seneste to uger. Det skriver Bleeping Computer.
Zerologon er en fejl, der blev rettet ved Patch Tuesday i august, og som CISA en måned senere advarede om, da en exploit blev offentlig tilgængelig. Efter yderligere en uge pålagde CISA føderale enheder i USA at handle på den via en det sjældent brugte Emergency Directive.
Windows Server Zerologon-sårbarheden
Zerologon er en kritisk sikkerhedsfejl, der gør det muligt for angribere at hæve privilegier til en domæneadministrator. Fejlen har en score på 10 på CVSS-skalen. Hvis fejlen bliver udnyttet, kan angribere kan tage kontrol over hele domænet, ændre enhver brugers adgangskode og udføre vilkårlige kommandoer.
Microsoft har udsendt følgende liste med forslag til følgende handlinger:
- Opdater dine domænecontrollere med den opdatering, der blev frigivet den 11. august 2020, eller senere opdateringer.
- Find ud af, hvilke enheder enheder der opretter sårbare forbindelser ved at overvåge hændelseslogfiler.
- Adresser ikke-kompatible enheder, der opretter sårbare forbindelser.
- Aktiver håndhævelsestilstand for at adressere CVE-2020-1472 i miljøet.