Уязвимость Zerologon активно эксплуатируется в реальных атаках

Компания Microsoft рекомендовала пользователям в срочном порядке установить исправление для уязвимости Zerologon, поскольку киберпреступники уже вовсю эксплуатируют ее в атаках. Zerologon (CVE-2020-1472) представляет собой уязвимость повышения привилегий в Microsoft Windows Server. Проблема связана с использованием ненадежного алгоритма шифрования в механизме аутентификации Netlogon. Zerologon позволяет имитировать любой компьютер в сети в процессе аутентификаци на контроллере домена, отключать функции безопасности Netlogon и изменять пароль в базе данных Active Directory контроллера домена. Уязвимость была обнаружена исследователями компании Secura и исправлена Microsoft в рамках августовского «вторника исправлений». Zerologon также затрагивает некоторые версии Samba, и разработчики проекта на днях выпустили исправление. Вскоре после того, как специалисты Secura раскрыли подробности об уязвимости, исследователи безопасности опубликовали свои PoC-эксплоиты. Теперь же за эксплуатацию уязвимости взялись не только исследователи, но и киберпреступники. «Microsoft активно отслеживает эксплуатацию уязвимости CVE-2020-1472 в Netlogon под названием Zerologon. Мы видели атаки, в которых атакующие использовали публичные эксплоиты», - сообщили в компании. Microsoft представила три эксплоита, которыми пользуются киберпреступники. Они представляют собой исполняемые файлы на .NET с именем SharpZeroLogon.exe. Все три эксплоита можно найти на VirusTotal (1, 2, 3).