Η Microsoft ανακοίνωσε χθες ότι Ιρανοί χάκερς εκμεταλλεύονται το σφάλμα Zerologon για να εκτελέσουν hacking εκστρατείες. Οι επιτυχείς επιθέσεις θα επέτρεπαν στους χάκερς να αναλάβουν servers οι οποίοι είναι γνωστοί ως ελεγκτές domain, που είναι τα κεντρικά στοιχεία των περισσότερων εταιρικών δικτύων. Με αυτόν τον τρόπο, οι χάκερς μπορούν να αποκτήσουν τον πλήρη έλεγχο των στόχων τους. Οι επιθέσεις που διενεργούν οι Ιρανοί χάκερς εντοπίστηκαν από το Threat Intelligence Center της Microsoft (MSTIC), με τον τεχνολογικό κολοσσό να αναφέρει σε σχετικό tweet πως αυτές διεξάγονται εδώ και τουλάχιστον δύο εβδομάδες.
Το MSTIC συνέδεσε τις επιθέσεις με μια ομάδα Ιρανών χάκερς που είναι γνωστή με την ονομασία “MickyWatter”. Ωστόσο, η Microsoft της έχει δώσει την κωδική ονομασία “MERCURY”. Η ομάδα πιστεύεται ότι δουλεύει για την ιρανική κυβέρνηση, υπό εντολές του Σώματος της Ισλαμικής Επαναστατικής Φρουράς, της κύριας υπηρεσίας πληροφοριών και στρατιωτικών υπηρεσιών του Ιράν.
Σύμφωνα με την Έκθεση Ψηφιακής Άμυνας της Microsoft, αυτή η ομάδα έχει στοχεύσει ΜΚΟ, διακυβερνητικούς οργανισμούς, κυβερνητικούς οργανισμούς που προσφέρουν ανθρωπιστική βοήθεια και οργανισμούς που δραστηριοποιούνται πάνω στα ανθρώπινα δικαιώματα. Ωστόσο, η Microsoft αναφέρει ότι οι πιο πρόσφατοι στόχοι της Mercury ήταν μεταξύ άλλων οργανισμοί που ασχολούνται με τους πρόσφυγες, αλλά και πάροχοι τεχνολογίας δικτύου στη Μέση Ανατολή.
Το Zerologon χαρακτηρίστηκε ως το πιο επικίνδυνο σφάλμα που έχει αποκαλυφθεί μέσα στο 2020 μέχρι στιγμής. Πρόκειται για μια ευπάθεια στο Netlogon, το πρωτόκολλο που χρησιμοποιείται από τα συστήματα Windows για έλεγχο ταυτότητας έναντι ενός Windows server που λειτουργεί ως ελεγκτής domain.
Όπως αναφέρει το BleepingComputer, η εκμετάλλευση του σφάλματος Zerologon μπορεί να επιτρέψει στους χάκερς να αναλάβουν έναν μη ελεγχόμενο ελεγκτή domain και κατ’επέκταση το εσωτερικό δίκτυο ενός οργανισμού-στόχου. Οι επιθέσεις συνήθως πρέπει να πραγματοποιούνται από εσωτερικά δίκτυα, αλλά εάν ο ελεγκτής domain εκτίθεται στο Διαδίκτυο, μπορούν επίσης να πραγματοποιηθούν εξ αποστάσεως μέσω του Διαδικτύου.
Η Microsoft κυκλοφόρησε τον περασμένο Αύγουστο ενημερώσεις κώδικα για την ευπάθεια Zerologon που εντοπίζεται ως CVE-2020-1472. Ωστόσο, η πρώτη λεπτομερής διατύπωση σχετικά με αυτό το σφάλμα δημοσιεύτηκε τον Σεπτέμβριο, καθυστερώντας τις περισσότερες από τις επιθέσεις.
Παρόλο που οι ερευνητές ασφαλείας καθυστέρησαν τη δημοσίευση λεπτομερειών για να δώσουν στους διαχειριστές συστημάτων περισσότερο χρόνο για διορθώσεις, ο proof-of-concept κώδικας για το Zerologon δημοσιεύθηκε σχεδόν την ίδια ημέρα με τη λεπτομερή σύνταξη, πυροδοτώντας ένα κύμα επιθέσεων μέσα σε λίγες μέρες.
Μετά την αποκάλυψη του σφάλματος, το Υπουργείο Εσωτερικής Ασφάλειας των ΗΠΑ (DHS) έδωσε στις ομοσπονδιακές υπηρεσίες προθεσμία τριών ημερών για να διορθώσουν τους ελεγκτές domain ή να τους αποσυνδέσουν από ομοσπονδιακά δίκτυα, προκειμένου να αποτρέψουν επιθέσεις, τις οποίες η εταιρεία αναμένει να συμβούν – και το έκαναν, μέρες αργότερα.
Οι επιθέσεις της MERCURY εκτιμάται ότι ξεκίνησαν περίπου μία εβδομάδα μετά τη δημοσίευση αυτού του κώδικα και, περίπου την ίδια στιγμή, η Microsoft άρχισε να εντοπίζει τις πρώτες απόπειρες εκμετάλλευσης του Zerologon.
