微軟周一表示,伊朗國家支持的黑客目前正在現實世界的黑客活動中利用Zerologon漏洞。成功的攻擊將使黑客能夠接管被稱為域控制器(DC)的伺服器,這些伺服器是大多數企業網絡的核心,並使入侵者能夠完全控制其目標。
微軟今天在一條簡短的推文中表示,伊朗的攻擊是由微軟威脅情報中心(MSTIC)檢測到的,已經持續了至少兩周。
MSTIC將這些攻擊與一個伊朗黑客組織聯繫在一起,該公司追蹤到的這個組織名為MERCURY,但他們MuddyWatter的綽號更為人所知。
該組織被認為是伊朗政府的承包商,在伊朗主要情報和軍事部門伊斯蘭革命衛隊的命令下工作。
根據微軟的《數字防禦報告》,這個組織歷史上曾針對非政府組織、政府間組織、政府人道主義援助和人權組織。
儘管如此,微軟表示,"MERCURY"最近的目標包括 "大量參與難民工作的目標 "和 "中東地區的網絡技術提供商"。
Zerologon被許多人描述為今年披露的最危險的bug。該bug是Netlogon的一個漏洞,Netlogon是Windows系統用來對作為域控制器運行的Windows伺服器進行認證的協議。利用Zerologon漏洞可以讓黑客接管一個未打補丁的域控制器,從而徹底控制一個公司的內部網絡。
攻擊通常需要從內部網絡進行,但如果域控制器暴露在網上,也可以通過網際網路進行遠程攻擊。
微軟在8月份發布了Zerologon(CVE-2020-1472)的補丁,但關於這個bug的第一篇詳細文章是在9月份發布的,這就延遲了大部分攻擊。
但當安全研究人員推遲公布細節,給系統管理員更多的時間打補丁時,Zerologon的武器化概念驗證代碼幾乎在詳細撰文的同一天公布,在幾天內就引發了第一波攻擊。
漏洞披露後,國土安全部給聯邦機構三天時間打補丁或將域控制器從聯邦網絡中斷開,以防止攻擊,該機構預計攻擊會到來,幾天後,它們確實來了。
MERCURY攻擊似乎是在這個概念驗證代碼公布後一周左右開始的,大約在同一時間,微軟開始檢測到第一個Zerologon利用嘗試。