Des pirates informatiques iraniens parrainés par l’État exploitent actuellement la vulnérabilité Zerologon dans la nature, selon une nouvelle étude du Threat Intelligence Center (MSTIC) de Microsoft.
Zerologon affecte les systèmes exécutant Windows Server 2008 R2 et versions ultérieures et la vulnérabilité a même reçu une cote de gravité maximale de 10/10 par le Common Vulnerability Scoring System (CVSS). Les attaques réussies exploitant la vulnérabilité peuvent permettre aux attaquants de prendre le contrôle de serveurs appelés contrôleurs de domaine (DC) qui servent de pièces maîtresses de la plupart des réseaux d’entreprise.
MSTIC expliqué dans un tweeter que ses chercheurs traquent un groupe de pirates iraniens connus sous le nom de MERCURY ou MuddyWater en utilisant l’exploit ZeroLogon, suivi sous le nom de CVE-2020-1472, dans la nature depuis deux semaines.
Dans l’édition de septembre 2020 de son rapport sur la défense numérique, Microsoft a noté que MERCURY avait ciblé les ONG, les organisations intergouvernementales, l’aide humanitaire gouvernementale et les organisations de défense des droits de l’homme dans le passé. Maintenant, bien que le groupe, que l’on pense être un sous-traitant du gouvernement iranien, a commencé à cibler les organisations qui travaillent avec les réfugiés et les fournisseurs de technologies de réseau au Moyen-Orient.
Sommaire
Attaques Zerologon
Avec un score CVE de 10/10, Zerologon est une vulnérabilité très sérieuse qui réside dans le protocole Netlogon qui est utilisé par les systèmes Windows pour s’authentifier auprès d’un serveur Windows fonctionnant en tant que contrôleur de domaine.
En exploitant cette vulnérabilité, les pirates peuvent prendre le contrôle d’un contrôleur de domaine non corrigé et obtenir un accès complet au réseau d’une organisation. Bien que les attaques doivent généralement être menées à partir d’un réseau interne, elles peuvent également être menées à distance sur Internet si un contrôleur de domaine est exposé en ligne.
En août, Microsoft a publié des correctifs pour résoudre Zerologon et la société a publié un article détaillé sur la vulnérabilité en septembre. Cependant, le code PoC armé pour Zerologon a été publié à peu près au même moment que la rédaction de la société, ce qui a conduit à une vague d’attaques ciblant des serveurs non corrigés.
La vulnérabilité posait un tel risque que le Département de la sécurité intérieure (DHS) a donné aux agences fédérales trois jours pour patcher leurs contrôleurs de domaine ou les déconnecter des réseaux fédéraux une fois le bogue divulgué publiquement.
Les entreprises et les agences gouvernementales qui n’ont pas encore mis à jour leurs contrôleurs de domaine devraient en faire immédiatement ou risquer d’être victimes d’attaques exploitant la vulnérabilité Zerologon.
Via ZDNet
