Een kwetsbaarheid in de Windows Server wordt momenteel actief misbruikt door hackers. Een maand geleden bracht Microsoft al een patch uit om het probleem op te lossen. Gebruikers kunnen de kwetsbaarheid eenvoudig verhelpen door de August 2020 patch van Microsoft te installeren. Het probleem is dat gebruikers hun installaties vaak niet actief updaten.
ZeroLogon: zo noemen cybersecurity professionals de kwetsbaarheid. Microsoft heeft er de naam ‘Netlogon EoP’ aan gegeven. De kwetsbaarheid heeft de hoogste score op de CVE-schaal. Microsoft bracht afgelopen augustus tijdens Patch Tuesday al een patch uit voor de fout. Door de kwetsbaarheid kan een aanvaller verbinding maken met een kwetsbare domain controller via het Netlogon Remote Protocol. Hackers kunnen zichzelf vervolgens beheerdersrechten geven.
Volgens cybersecurity bedrijf Secura is het een interessante kwetsbaarheid die een aanvaller een sterke positie geeft in het interne netwerk van een slachtoffer. De fout maakt het eenvoudig en snel om in te breken in een netwerk. Een hacker kan zichzelf met slechts één klik Domain Admin maken.
Vrij spel
Doordat veel Windows-gebruikers de nieuwste patch nog niet hebben geïnstalleerd hebben hackers vrij spel om misbruik te maken van de kwetsbaarheid. “Zelfs nu CISA opdracht heeft gegeven om de patch die Microsoft op 11 augustus uitbracht direct te installeren, blijkt patch management nog niet zo eenvoudig te zijn.” Zo vertelt Terence Jackson, chief information security officer bij Thycotic Software Ltd. aan SiliconANGLE.
“Door de aard van de kwetsbaarheid blijven aanvallers zoeken naar bedrijven die kwetsbaar zijn en proberen deze te gebruiken. Als een aanvaller domein beheerdersrechten krijgt op een netwerk is het game over. Bedrijven en instanties moeten hun kwetsbare servers identificeren en deze zo snel mogelijk patchen”, legt Jackson uit.
Hoe de ZeroLogon aanvallen begonnen
Volgens Brian Davis, director of federal security solutions bij Vectra AI Inc. zijn kwetsbaarheden als ZeroLogon een herinnering aan de zwaktes van cybersecurity tools die te veel afhankelijk zijn van handtekeningen. “Ze leveren een bepaald niveau aan bescherming tegen het misbruik, zij het nadat het kwaad al is aangedaan. In veel gevallen is het al te laat”
Scott Caveza, research engineering manager bij cyber exposure bedrijf Tenable Inc. linkt het misbruik van de kwetsbaarheid aan de blog van Secura. “Kort nadat de blog van Secura over de impact en technische informatie van ZeroLogon werd gepubliceerd, ontstonden er meerdere proof-of-concept scripts”, legt Caveza uit. “In de uren en dagen daarna zagen we een toename in het aantal scripts dat beschikbaar was om de fout te testen en misbruiken”, aldus Caveza.