微软周一表示,伊朗国家支持的黑客目前正在利用现实世界黑客活动中的Zerologon漏洞。
成功的攻击将允许黑客接管被称为域控制器(DC)的服务器,域控制器是大多数企业网络的核心,并使入侵者能够完全控制他们的目标。
微软公司今天在一条简短的推文中说,伊朗的攻击是由微软的威胁情报中心(MSTIC)检测到的,已经持续了至少两周。
MSTIC已经观察到民族国家演员水星在过去两周的活动中使用CVE-2020-1472漏洞(ZeroLogon)的活动。我们强烈建议您打补丁。Microsoft365 Defender客户还可以参考这些检测:https://t.co/ieBj2dox78。
-微软安全情报(@MsftSecIntel)2020年10月5日。
MSTIC将这些攻击与一群伊朗黑客联系在一起,该公司追踪这些黑客的名字是水星,但他们的绰号是MuddyWatter,他们的名字更广为人知。
该组织据信是伊朗政府的承包商,在伊朗主要情报和军事部门伊斯兰革命卫队的命令下工作。
根据微软的“数字防御报告”,该组织历来以非政府组织、政府间组织、政府人道主义援助和人权组织为目标。
尽管如此,微软表示,水星公司最近的目标包括大量参与难民工作的目标,以及中东的网络技术供应商。
Zerologon被许多人描述为今年披露的最危险的漏洞。该漏洞是Netlogon中的漏洞,Netlogon是Windows系统用来针对作为域控制器运行的Windows Server进行身份验证的协议。
利用Zerologon漏洞可以让黑客控制未打补丁的域控制器,并从本质上控制公司的内部网络。
攻击通常需要从内部网络实施,但如果域控制器暴露在网上,也可以通过互联网远程实施。
微软在8月份发布了Zerologon(CVE-2020-1472)的补丁,但关于这个漏洞的第一个详细的书面记录是在9月份发布的,推迟了大部分攻击。
但是,尽管安全研究人员推迟了发布细节,以便让系统管理员有更多时间打补丁,但Zerologon的武器化概念验证代码几乎在详细记录的同一天发布,在几天内引发了一波攻击浪潮。
漏洞披露后,国土安全部给了联邦机构三天的时间来修补域名控制器或断开它们与联邦网络的连接,以防止攻击,该机构预计会发生攻击-几天后他们就做到了。
Microsoft正在利用CVE-2020-1472 Netlogon EoP漏洞(称为Zerologon)主动跟踪威胁参与者的活动。我们观察到一些攻击,其中公开利用的漏洞已被合并到攻击者的行动手册中。
-微软安全情报(@MsftSecIntel)2020年9月24日。
水星攻击似乎是在这个概念验证代码发布大约一周后开始的,大约在同一时间,微软开始检测到第一次利用Zerologon攻击的企图。