Microsoft avverte degli attacchi in corso che utilizzano il difetto di Windows Zerologon

Mark October 6, 2020

Il Threat Intelligence Center di Microsoft avverte di un attacco che potrebbe essere causato dallo sfruttamento di una falla di sicurezza critica CVE-2020-1472 valutata 10/10.

Secondo la società, gli attacchi in corso sono stati osservati più volte nelle ultime due settimane. Il gruppo di cyber-spionaggio MuddyWater sostenuto dall’Iran ha lanciato tali aggressori utilizzando gli exploit ZeroLogon.

“MSTIC ha osservato l’attività dell’attore dello stato-nazione MERCURY utilizzando l’exploit CVE-2020-1472 (ZeroLogon) in campagne attive nelle ultime 2 settimane. Consigliamo vivamente di applicare le patch.”

 Un avvertimento simile è stato anche osservato dalla società, il mese scorso, il 23 settembre, quando ha esortato l’amministratore IT ad applicare gli aggiornamenti di sicurezza come parte della patch di agosto 2020 martedì per difendersi dagli attacchi che utilizzano exploit pubblici ZeroLogon.

ZeroLogon è una falla di sicurezza critica che gli aggressori potrebbero utilizzare per elevare i privilegi a un amministratore di dominio. Quando vengono sfruttati con successo, possono assumere il controllo completo del dominio, modificare la password di qualsiasi utente ed eseguire qualsiasi comando.

Una settimana dopo, anche Cisco Talos ha avvertito “un picco nei tentativi di sfruttamento contro la vulnerabilità Microsoft CVE-2020-1472, un bug di elevazione dei privilegi in Netlogon”.

Microsoft sta implementando la correzione per ZeroLogon in due fasi poiché può causare problemi di autenticazione ad alcuni dei dispositivi interessati.

Il primo, rilasciato l’11 agosto, impedisce ai controller di dominio Active Directory di Windows di utilizzare comunicazioni RPC non protette e registra le richieste di autorizzazione da dispositivi non Windows che non proteggono i canali RPC per consentire all’amministratore di riparare o sostituire i dispositivi interessati.

Microsoft rilascerà un altro aggiornamento, a partire dall’aggiornamento di febbraio 2021 Patch Tuesday per abilitare la modalità di applicazione che richiede che tutti i dispositivi di rete utilizzino RPC sicuro, a meno che l’amministratore non lo consenta.

 La società ha chiarito i passaggi relativi a come proteggere i dispositivi dagli attacchi in corso utilizzando gli exploit ZeroLogon il 29 settembre. A quel tempo, Microsoft ha delineato il piano di aggiornamento:

  • Aggiornare i controller di dominio all’aggiornamento rilasciato l’11 agosto 2020 o successivo
  • Trova i dispositivi con connessione vulnerabile monitorando i registri degli eventi
  • Indirizzare i dispositivi non conformi,
  • Abilita la modalità di applicazione per indirizzare CVE-2020-1472

More Stories

Aggiornamento di Windows 11: saluta queste funzionalità

Mark June 25, 2021

Massachusetts MassNotify App Android COVID forzata da Google

Mark June 21, 2021

Novità di Microsoft Windows 10 Build 19043.1052

Mark June 10, 2021

You may have missed

Come rimuovere DARKSET Ransomware e recuperare i file .DARKSET

Mark November 14, 2024

Come rimuovere My Tab Search il dirottatore del browser

Mark November 14, 2024

Come rimuovere 34knehyroodw.top dal PC

Mark November 14, 2024

Come rimuovere Ashc.store dal PC

Mark November 14, 2024

Come rimuovere Cr4.biz dal PC

Mark November 14, 2024