Корпорация Microsoft снова выступила с заявлением, в котором предупредила, что киберпреступники продолжают атаковать системы, которые не защищены от уязвимости повышения привилегий Zerologon в протоколе Netlogon Remote Protocol.
Анчал Гупта, вице-президент Microsoft по инженерным вопросам, отметил: «Наша компания получает ежедневно множество отчетов от частных и корпоративных клиентов об активном продолжении киберпреступной деятельности по эксплуатации уязвимости, которая затрагивает протокол Netlogon. Мы напоминаем, что Microsoft устранила уязвимость CVE-2020-1472 с помощью обновления безопасности, выпущенного 11 августа 2020 г.».
На устройствах Windows Server, которые не обновлялись, киберпреступники имеют возможность подделать учетную запись контроллера домена – это позволит им похитить конфиденциальную информацию домена и захватить домен после успешной эксплуатации проблемы.
«Мы ежедневно рекомендуем каждому частному и корпоративному клиенту, которые еще не установили обновление безопасности, сделать это немедленно. Клиентам требуется установить обновление и следовать инструкциям, которые описаны в KB4557222, что обеспечить защиту свой системы от этой ошибки», – резюмировал Гупта.
Zerologon – критическая уязвимость в Windows Server, позволяющая киберпреступникам повышать привилегии для получения контроля над доменом, изменения пользовательского пароля, выполнения различных произвольных команд.
Ранее корпорация Microsoft объявила, что исправления для Zerologon будут выпущены в два этапа, чтобы у пользователей не возникало проблем с проверкой подлинности на некоторых уязвимых устройствах.
В начале октября 2020 г. корпорация Microsoft уже предупреждала о российских хакерах, которые проводят масштабные атаки с использованием уязвимости Zerologon. Предполагается, что проблема активно эксплуатируется проправительственной российской хакерской группировкой ТА505.