微软称伊朗黑客正在利用Zerologon漏洞发动攻击
微软官方日前表示,伊朗国家支持的黑客团队正利用Zerologon漏洞从事黑客攻击活动,该行为已经持续了至少两周。
据悉,伊朗的攻击是由微软威胁情报中心(MSTIC)检测到的,并将其与伊朗名为MERCURY的黑客组织联系在一起。
MERCURY又名MuddyWatter,被认为是伊朗政府的承包商,听命于伊朗主要情报和军事部门,即伊斯兰革命卫队。
Zerologon漏洞指编号为CVE-2020-1472 Netlogon EoP的漏洞,CVSS 评分为10分,堪称历史上最严重的漏洞之一。
攻击者可以利用该漏洞,可以接管企业网络中当作域控制器运行的Windows Servers,可以一键成为Domain Admin。
黑客一旦成功利用该漏洞,可以先感染一台网络设备,再传播到其他设备,因此备受恶意软件和勒索软件团伙青睐。
黑客利用Zeologon最高不过三秒即可接管企业网络,但漏洞利用具备限制条件,即无法用于从网络外部接管服务器。
服务器对于大部分企业网络来说堪称命脉,因此当Zerologon传播后,美国安全部门要求政府网络管理员立即打补丁。
尽管微软早已发布针对该漏洞的更新且安全研究人员推迟了漏洞细节公布,但利用Zerologon漏洞的攻击依旧出现了。
Zerologon的武器化概念验证代码几乎在详细撰文的同一天公布,该代码公布一周左右后,MERCURY攻击就开始了。