Máris tömegével támadnak a Zerologon-hackerek

A hekkerek gyorsan lecsaptak a Zerologon sebezhetőségre, adta hírül a Microsoft Security Intelligence a Twitteren. A szűkszavú közlemény úgy fogalmaz, hogy a Microsoft az CVE-2020-1472 Netlogon EoP, más néven Zerologon elleni erőteljes támadó tevékenységet észlelt. A sebezhetőséget szeptember 14-én hozta nyilvánosságra a holland Secure BV biztonsági cég, és ezt követően a támadásra alkalmas kód prototípusából több változatot is le lehetett tölteni, így a szakértőket nem lepte meg a kiberbűnözők aktivitása.

Az első támadó kód alig néhány órával a Secure BV blogposztja után jelent meg, bizonyítva, hogy az újonnan felfedezett sérülékenységet magasszintű szaktudás nélkül is könnyű kihasználni. A Zerologon lényegében a Windows rendszerek hitelesítő protokolljának, a Netlogonnak a sebezhetősége, amelyet kihasználva a hekkerek átvehetik a domainkontollerek irányítását, és hatalmukba keríthetik a cégek belső hálózatát. A biztonsági rés azért is rettentő problémás, mert az alapvető hacker-támadásokkal ellentétben, melyek sokszor heteket vagy akár hónapokat is igénybe vehetnek, ezt kihasználva legfeljebb 3 másodpercbe telik behatolni a rendszerbe. Ha már bent vannak, akár a rendszergazda gépe fölött is átvehetik az irányítást, hozzáférve ezzel a teljes hálózathoz.

Sokan az utóbbi idők egy legsúlyosabb biztonsági problémájának tartják, és veszélyességét az is mutatja, hogy az Egyesült Államok Belbiztonsági Minisztériuma, a DHS ultimátumot adott a szövetségi ügynökségeknek: ha három napon belül nem látják el biztonsági javítással domain vezérlőiket, le kell csatlakozniuk a szövetségi hálózatokról.

A sebezhetőség a Samba fájlmegosztó szoftvert is érinti, így ott is frissítésre lesz szükség. A szakértők az olyan cégeknek, amelyek az internetről elérhető domainkontrollereket használnak, szintén azt ajánlják, hogy kapcsolódjanak le a hálózatról, és amilyen gyorsan csak tudják, foltozzák be a hibát.