ZeroLogon, een zeer kritieke Windows kwetsbaarheid wordt actief aangevallen door hackers. Aanvallers proberen toegang te krijgen tot servers die inloggegevens opslaan voor elke gebruiker binnen een netwerk.
Vorige maand begonnen hackers met het actief aanvallen van de ZeroLogon kwetsbaarheid. De aanvallen begonnen kort nadat bekend werd dat de bug hackers directe toegang geeft tot active directories, wat systeembeheerders gebruiken om accounts te maken, verwijderen en beheren. In de ogen van hackers zijn active directories een van de meest gewilde prijzen. Dat komt doordat ze aanvallers de mogelijkheid geven code uit te voeren op alle verbonden systemen.
In augustus bracht Microsoft tijdens zijn Patch Tuesday al een patch voor de kwetsbaarheid uit. Kevin Beaumont, een onafhankelijke onderzoeker, detecteerde de aanvallen op de ZeroLogon kwetsbaarheid dankzij een honeypot die hij gebruikt. Zijn ongepatchte lokserver werd aangevallen en met een powershell script slaagden hackers erin een beheerder wachtwoord te veranderen en toegang te krijgen tot de server.
Geautomatiseerde aanvallen
In een interview vertelde Beaumont dat het ernaar uitzag dat de aanval volledig gescript was. Alle commando’s werden binnen enkele seconden uitgevoerd. De aanvallers installeerden een backdoor die toegang gaf tot alle apparaten in het netwerk dat hij als honeypot opzette. De aanvallers activeerden ook een Remote Desktop. Hierdoor blijven de hackers toegang houden tot het systeem, ook ook na het installeren van de patch.
“Wat je hiervan kunt leren, is dat aanvallers het internet afgaan om op een geautomatiseerde manier backdoors te installeren in ongepatchte Active Directory systemen”, legt Beaumont uit. “Het is niet erg verfijnd, maar deze hackers doen iets wat werkt, wat voor veel problemen zorgt”, aldus Beaumont.
Patch beschikbaar sinds augustus
Microsoft heeft al meerderde keren gewaarschuwd dat hackers de ZeroLogon kwetsbaarheid actief aanvallen. Een groot deel van de aanvallen komt van een groep genaamd Mercury, een hackersgroep die banden heeft met de Iraanse overheid.
Door de bug krijgen hackers zonder authentificatie toegang tot inloggegevens. In sommige gevallen, gebruiken aanvallers een aparte kwetsbaarheid om zich binnen te werken in een netwerk. Vervolgens maken ze misbruik van de Zerologon kwetsbaarheid en nemen ze de domain controller over.
De manier waarop de honeypot van Beaumont werd aangevallen, geeft niet direct weer hoe een aanval ‘in de echte wereld’ eruit ziet. Om goed te werken, laten honeypots niet alleen de kwetsbaarheid in kwestie ongepatcht, maar laten ze het netwerk in zijn geheel onbeschermd. Los daarvan laten de resultaten van Beaumont wel degelijk zien hoe effectief de Zerologon aanvallen zijn en welke verontrustende gevolgen ze hebben.