微软周一表示,伊朗国家支持的黑客目前正在现实世界的黑客活动中利用Zerologon漏洞。成功的攻击将使黑客能够接管被称为域控制器(DC)的服务器,这些服务器是大多数企业网络的核心,并使入侵者能够完全控制其目标。
微软今天在一条简短的推文中表示,伊朗的攻击是由微软威胁情报中心(MSTIC)检测到的,已经持续了至少两周。
MSTIC将这些攻击与一个伊朗黑客组织联系在一起,该公司追踪到的这个组织名为MERCURY,但他们MuddyWatter的绰号更为人所知。
该组织被认为是伊朗政府的承包商,在伊朗主要情报和军事部门伊斯兰革命卫队的命令下工作。
根据微软的《数字防御报告》,这个组织历史上曾针对非政府组织、政府间组织、政府人道主义援助和人权组织。
尽管如此,微软表示,"MERCURY"最近的目标包括 "大量参与难民工作的目标 "和 "中东地区的网络技术提供商"。
Zerologon被许多人描述为今年披露的最危险的bug。该bug是Netlogon的一个漏洞,Netlogon是Windows系统用来对作为域控制器运行的Windows服务器进行认证的协议。利用Zerologon漏洞可以让黑客接管一个未打补丁的域控制器,从而彻底控制一个公司的内部网络。
攻击通常需要从内部网络进行,但如果域控制器暴露在网上,也可以通过互联网进行远程攻击。
微软在8月份发布了Zerologon(CVE-2020-1472)的补丁,但关于这个bug的第一篇详细文章是在9月份发布的,这就延迟了大部分攻击。
但当安全研究人员推迟公布细节,给系统管理员更多的时间打补丁时,Zerologon的武器化概念验证代码几乎在详细撰文的同一天公布,在几天内就引发了第一波攻击。
漏洞披露后,国土安全部给联邦机构三天时间打补丁或将域控制器从联邦网络中断开,以防止攻击,该机构预计攻击会到来,几天后,它们确实来了。
MERCURY攻击似乎是在这个概念验证代码公布后一周左右开始的,大约在同一时间,微软开始检测到第一个Zerologon利用尝试。