Grote toename in pogingen tot misbruik Zerologon kwetsbaarheid in 1 week tijd

Grote toename in pogingen tot misbruik Zerologon kwetsbaarheid in 1 week tijd, dit wordt gemeld door onderzoekers van Cisco Talos. Deze onderzoekers melden dat cybercriminelen hun inspanningen aan het verdubbelen zijn om misbruik te maken van de Zerologon kwetsbaarheid.

Het actief misbruiken van de kwetsbaarheid werd vorige week donderdag door Microsoft bekend gemaakt via een tweet. Microsoft geeft aan dat de publieke beschikbare PoC’s zijn gebruikt om mee te nemen in de “playbooks” van de aanvallers. Twee weken geleden waarschuwden wij hier al voor in ons artikel over de Zerologon kwetsbaarheid, dat het niet meer lang zou duren voordat de kwetsbaarheid misbruikt zal gaan worden. Dit is inderdaad nu het geval.

Nu het volume van de aanvallen oploopt, is de inzet groot. Dit komt doordat wanneer het misbruik maken van de kwetsbaarheid succesvol is een aanvaller met netwerk toegang tot een domain controller, deze volledig kan compromitteren.

Andere patches

Samba en 0patch hebben beiden besloten om ook patches uit te brengen voor de Zerologon kwetsbaarheid (CVE-2020-1472), deze patches zijn er voor bedoeld om de gaten op de vullen die niet worden opgelost met de officiële patch die Microsoft in augustus heeft uitgebracht.

Volgens Mitja Kolsec, de CEO van 0patch, hebben zij een eigen patch uitgebracht, omdat niet alle systemen compatibel zijn met de officiële patch.

“Onze micropatch is gemaakt voor Windows Server 2008 R2, welke sinds januari dit jaar end-of-life is en niet meer wordt ondersteund, daarom krijgt deze versie ook geen Windows updates meer,” zei Kolsec tegen Threatpost. “Veel organisaties gebruiken deze server versie nog steeds en de enige manier om verlengde ondersteuning van Microsoft te krijgen was om de server te verplaatsten naar de Azure (Cloud), dit is een onacceptabele optie voor veel organisaties.”

In een recent blog gaf Kolsec aan dat: “De micropatch is op logischerwijze identiek aan die van Microsoft en dat hun functie NetrServerAuthenticate3 op vrijwel dezelfde plaats is geplaatst als waar Microsoft NlIsChallengeCredentialPairVulnerable heeft geplaatst, maar sinds de laatstgenoemde niet bestaat in oudere versie van netlogon.dll, moest dit geïmplementeerd worden in onze patch.”

De micropatch wordt ook uitgebracht voor nog steeds ondersteunde Windows Server versies, aangezien er ook bepaalde organisaties zijn die om bepaalde redenen de patch van Microsoft niet kunnen implementeren.

Samba

Ook is gebleken dat Samba, dat wordt gebruikt voor het delen van bestanden tussen Linux en Windows systemen, ook gebruik maakt van het Netlogon protocol, waardoor de Zerologon kwetsbaarheid hierop ook impact heeft.

De kwetsbaarheid is aanwezig wanneer Samba alleen als domain controller wordt gebruikt (Met name Active Directory DC, maar ook de klassieke NT4 stijl DC), gaf Samba aan in een advisory vorige week. Wanneer Samba alleen als fileserver wordt gebruikt, dan heeft de kwetsbaarheid geen direct impact. Wel kan het mogelijk zijn dat er configuratie aanpassingen gedaan moeten worden om nog te kunnen communiceren met de domain controllers.

Verder wordt er aangegeven dat Samba versies 4.8 en hoger niet kwetsbaar zijn, tenzij ze de regels server schannel = no’ or ‘server schannel = auto’ in het smb.conf bestand hebben staan. Samba versies 4.7 en lager zijn kwetsbaar, tenzij ze ‘server schannel = yes’ in het smb.conf bestand hebben staan.

Meer over de Zerologon kwetsbaarheid valt te lezen in ons artikel van 2 weken geleden.

Advies

Er is op dit moment een toename gaande in het actief misbruiken van de Zerologon kwetsbaarheid, daarom wordt aan iedere organisatie geadviseerd die dit nog niet heeft gedaan om de patch van Augustus te installeren die Microsoft beschikbaar heeft gesteld.

Is het voor uw organisatie niet mogelijk om de Microsoft patch te gebruiken, kijk dan naar de micropatch van 0patch of deze uitkomst kan bieden. Deze is voornamelijk bedoeld voor Windows Server 2008 R2.

Indien er gebruik wordt gemaakt van Samba als domain controller wordt er geadviseerd om te controleren of de regels voor de desbetreffende versie goed zijn ingesteld in het smb.conf bestand.

Eerdere berichten

Ander Cybersecurity nieuws lezen? Bekijk ook eens onze andere recente berichten:

 

 

 

 

 

 

 

Security Awareness trainingen moeten regelmatig herhaald worden
QR codes zijn handig, maar ook een Cybersecurity dreiging

Gerelateerde berichten

cisco

Onderzoeker onthult kritieke RCE-tekortkomingen in Cisco Security Manager

Ransomware

Gestolen data na een ransomware aanval wordt niet altijd verwijderd

Oracle

Oracle brengt noodpatch uit voor kritieke kwetsbaarheid in WebLogic Server

Microsoft 365

Grootste gedeelte van Microsoft 365 administrators activeert MFA niet

RYUK ransomware

Ryuk ransomware gang maakt gebruikt van Zerologon voor zeer snelle aanval

emotet

Nieuwe Emotet aanval met neppe Windows updates

Android ransomware

Nieuwe Android ransomware wordt door Microsoft voor gewaarschuwd

QR code

QR codes zijn handig, maar ook een Cybersecurity dreiging

security awareness training

Security Awareness trainingen moeten regelmatig herhaald worden

Microsoft

Zerologon kritieke kwetsbaarheid in Windows Server maakt het mogelijk om domain controllers over te nemen

Microsoft

Kritieke kwetsbaarheid CVE-2020-16875 in Microsoft Exchange maakt RCE mogelijk

cisco

Cisco IOS XR zero-day kwetsbaarheid actief misbruikt

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Fill out this field
Fill out this field
Geef een geldig e-mailadres op.
Je moet de voorwaarden accepteren voordat je het bericht kunt verzenden.

veertien − twaalf =

Menu