«Для меня вывод: злоумышленники распыляют в Интернете автоматические лазейки в незащищенные системы Active Directory», — сказал Бомонт Ars. «Это не хорошие новости. Это не очень сложно, но эти злоумышленники делают что-то эффективное, что обычно более проблематично ».

Результаты пятницы являются наиболее подробными на сегодняшний день о реальных атаках, использующих критическую уязвимость. В конце прошлого месяца и снова в начале этого месяца Microsoft предупредила, что Zerologon подвергся активной атаке со стороны хакеров, некоторые или все из которых являются частью группы угроз, получившей название Mercury, которая связана с правительством Ирана. Несколько недель назад honeypot Бомонта также обнаруживал попытки использования уязвимостей.

Исследователи назвали уязвимость Zerologon, потому что атаки работают, отправляя строку нулей в серии сообщений, использующих протокол Netlogon, на который серверы Windows полагаются для множества задач, включая разрешение конечным пользователям входить в сеть.

Люди без аутентификации могут использовать эксплойт для получения учетных данных администратора домена, если злоумышленники имеют возможность устанавливать TCP-соединения с уязвимым контроллером домена. В некоторых случаях злоумышленники могут использовать отдельную уязвимость, чтобы закрепиться внутри сети, а затем использовать Zerologon для захвата контроллера домена, — заявило в прошлую пятницу подразделение кибербезопасности Министерства внутренней безопасности — Агентство по кибербезопасности и безопасности инфраструктуры. Агентство заявило, что эксплойты угрожают контролируемым правительством избирательным системам.

Чтобы быть эффективными, приманки обычно должны ослаблять защиту, стандартную для многих сетей. В этом смысле они могут дать односторонний взгляд на то, что происходит в реальном мире. Тем не менее, результаты Бомонта иллюстрируют как эффективность текущих атак Zerologon, так и те результаты, которых они достигают.

Читайте также:
Акция: эти часы за 94 злотых - новый король дешевых умных часов