ZeroLogon

ZeroLogon is de naam die wordt gegeven aan een uiterst bedreigende kwetsbaarheid die in augustus 2020 werd onthuld en gepatcht door Microsoft. De kwetsbaarheid ontving de CVE-2020-1472-ID en kreeg de maximale ernstclassificatie van 10. De exploit maakt gebruik van zwakke cryptografische algoritmen die worden gebruikt in het Netlogon-authenticatieproces. Door de bug kunnen bedreigingsactoren beveiligingsmaatregelen uitschakelen die zijn gevonden in het Netlogon-verificatieproces, het wachtwoord wijzigen voor de Active Directory, een database met alle computers die zijn verbonden met een domein en de wachtwoorden van de domeincontroller, evenals spoof de identiteit van een machine op het netwerk bij het uitvoeren van verificatie voor de domeincontroller.

ZeroLogon heeft een enorme beperking; daarom kan het niet worden gebruikt om Windows-servers van buiten hun netwerk over te nemen. De bedreigingsactoren moeten eerst voet aan de grond krijgen, maar als ze daartoe in staat zijn, stelt ZeroLogon hen in staat om het Windows-domein binnen enkele seconden volledig in gevaar te brengen.

ZeroLogon is mogelijk gepatcht, maar hackergroepen gebruiken het nog steeds in hun aanvalscampagnes. Infosec-onderzoekers hebben zelfs een massale campagne ontdekt die zich richt op bedrijven in de auto-, farmaceutische en technische entiteiten. De campagne is toegeschreven aan de Advanced Persistent Threat (APT) -groep Cicada, ook wel bekend als APT10, Stone Panda en Cloud Hopper. Volgens de Amerikaanse regering worden de activiteiten van Cicada gesponsord door China.

Historisch gezien is Japan de voorkeursregio van de groep, en de nieuw ontdekte campagne is geen uitzondering. Veel van de oude methoden, technieken en procedures van Cicada worden volledig weergegeven in deze nieuwste bewerking, maar er zijn ook verschillende nieuwe toevoegingen. De uitbuiting van de ZeroLogon-kwetsbaarheid is nog niet eerder gezien door deze specifieke APT. Cicada heeft ook een gloednieuw malware-onderdeel ontwikkeld en geïmplementeerd, genaamd Backdoor.Hartip.

Het doel van de campagne is hoogstwaarschijnlijk datadiefstal en cyberspionage. Informatie die naar de servers van de hackers wordt geëxfiltreerd, omvat bedrijfsgegevens, onkosteninformatie, transcripties van vergaderingen, HR-documenten, enz.

Organisaties hebben enkele maanden de tijd gehad om de ZeroLogon-kwetsbaarheid te patchen, maar degenen die dat nu nog niet hebben gedaan, moeten hun prioriteiten op het gebied van cybersecurity heroverwegen.

Trending

Meest bekeken

Bezig met laden...