تقول مايكروسوفت إنها اكتشفت هجمات نشطة تستفيد من ثغرة Zerologon في انظمة ويندوز


Zerologon


قال فريق الاستخبارات الأمنية في Microsoft هذا الصباح إن المتسللين يستغلون بشكل نشط ثغرة Zerologon في هجمات العالم الحقيقي. وكتبت الشركة في سلسلة من التغريدات: "تتعقب Microsoft بنشاط نشاط ممثل التهديد باستخدام عمليات استغلال الثغرة الأمنية CVE-2020-1472 Netlogon EoP ، التي يطلق عليها اسم Zerologon. لقد لاحظنا هجمات تم فيها دمج الثغرات العامة في كتب المهاجمين".


تتعقب Microsoft بنشاط نشاط ممثل التهديد باستخدام عمليات استغلال الثغرة الأمنية CVE-2020-1472 Netlogon EoP ، التي يطلق عليها اسم Zerologon. لقد لاحظنا الهجمات حيث تم دمج الثغرات العامة في قواعد اللعبة للمهاجمين.

تم نشر إصدارات متعددة من كود استغلال إثبات المفهوم كسلاح على الإنترنت في شكل قابل للتنزيل مجانًا منذ أن تم الكشف عن تفاصيل حول ثغرة Zerologon في 14 سبتمبر من قبل شركة الأمن الهولندية Secura BV.

تم نشر أول استغلال لإثبات المفهوم بعد ساعات من نشر المدونة التفسيرية ، مما يؤكد تحليل Secura أنه من السهل استغلال خطأ Zerologon ، حتى من قبل الجهات الفاعلة في مجال التهديد منخفضة المهارات.

يتوفر شرح أكثر تفصيلاً لخلل Zerologon في تغطيتنا الأولية للثغرة الأمنية ، ولكن لتبسيطها ، فإن خطأ Zerologon هو ثغرة أمنية في Netlogon ، وهو البروتوكول الذي تستخدمه أنظمة Windows للمصادقة على خادم يعمل بنظام Windows وحدة تحكم المجال. يمكن أن يسمح استغلال خطأ Zerologon للمتسللين بالاستيلاء على وحدة التحكم بالمجال ، وبالطبع على الشبكة الداخلية للشركة.

وصف الكثيرون Zerologon بأنه أخطر علة تم الكشف عنها هذا العام. خلال عطلة نهاية الأسبوع ، منحت وزارة الأمن الداخلي الوكالات الفيدرالية ثلاثة أيام لإصلاح وحدات التحكم بالمجال أو فصلها عن الشبكات الفيدرالية. في تنبيه يوم الاثنين ، قالت CISA إن خطأ Zerologon يؤثر أيضًا على برنامج مشاركة ملفات Samba ، والذي يحتاج أيضًا إلى التحديث.

على الرغم من أن Microsoft لم تنشر تفاصيل حول الهجمات ، إلا أنها أصدرت تجزئات للملفات لعمليات استغلال الثغرات المستخدمة في الهجمات. كما أوصى العديد من خبراء الأمن منذ أن كشفت (Microsoft) عن الهجمات ، يجب على الشركات التي تعرض وحدة تحكم المجال الخاصة بها على الإنترنت أن تأخذ الأنظمة في وضع عدم الاتصال لتصحيحها.

هذه الخوادم التي يمكن الوصول إليها عبر الإنترنت معرضة للخطر بشكل خاص حيث يمكن شن الهجمات مباشرة ، دون أن يحتاج المتسلل أولاً إلى موطئ قدم على الأنظمة الداخلية.


أحدث أقدم