ZeroLogon

ZeroLogon er navnet på en ekstremt truende sårbarhed, der blev afsløret og patched af Microsoft i august 2020. Sårbarheden modtog CVE-2020-1472-identifikatoren og fik den maksimale sværhedsgrad på 10. Udnyttelsen udnytter de svage kryptografiske algoritmer, der er brugt i Netlogon-godkendelsesprocessen. Gennem fejlen kan trusselaktører deaktivere sikkerhedsforanstaltninger, der findes i Netlogon-godkendelsesprocessen, ændre adgangskoden til Active Directory, som er en database, der indeholder alle de computere, der er forbundet til et domæne, og adgangskoderne til domænecontrolleren samt spoof identiteten på enhver maskine på netværket, når der udføres godkendelse for domænecontrolleren.

ZeroLogon har en massiv begrænsning; det kan derfor ikke bruges til at overtage Windows-servere uden for deres netværk. Trusselaktørerne skal først etablere fodfæste, men hvis de er i stand til det, tillader ZeroLogon dem at kompromittere Windows-domænet på få sekunder.

ZeroLogon er muligvis blevet patched, men hackergrupper bruger den stadig i deres angrebskampagner. Faktisk er en massiv kampagne rettet mod virksomheder inden for bilindustrien, farmaceutiske og tekniske enheder blevet afdækket af infosec-forskere. Kampagnen er tilskrevet den avancerede vedvarende trussel (APT) -gruppen Cicada, også kendt som APT10, Stone Panda og Cloud Hopper. Ifølge den amerikanske regering sponsoreres Cicadas operationer af Kina.

Historisk set er gruppens foretrukne region Japan, og den nyopdagede kampagne er ikke en undtagelse. Mange af Cicadas gamle metoder, teknikker og procedurer vises på fuld visning i denne seneste operation, men der findes også flere nye tilføjelser. Udnyttelsen af ZeroLogon-sårbarheden er ikke set før af denne særlige APT. Cicada har også udviklet og implementeret en helt ny streng malware kaldet Backdoor.Hartip.

Målet med kampagnen er sandsynligvis datatyveri og cyberspionage. Oplysninger, der udfiltreres til hackernes servere, inkluderer virksomhedsoptegnelser, udgiftsoplysninger, mødetranskripter, HR-dokumenter osv.

Organisationer har haft flere måneder til at lappe ZeroLogon-sårbarheden, men de, der ikke har gjort det nu, burde virkelig revurdere deres cybersikkerhedsprioriteter.