Windows | Hacking | Servery

Hackeři útočí na servery s Windows skrze vážnou bezpečnostní chybu Zerologon

Hackeři zneužívají k útokům jednu z nejvážnějších bezpečnostních zranitelností systému Windows, která byla letos odhalena. Chybu, označovanou jako Zerologon, objevil v září nizozemský odborník na bezpečnost Tom Tervoort. Bezpečnostní experti varovali, že může útočníkům poskytnout přístup k Active Directory.

Active Directory je adresářová služba vyvinutá Microsoftem pro doménové sítě postavené na platformě Windows. Jako sada procesů a služeb je součástí většiny operačních systémů Windows Server. Původně byla odpovědná pouze za centralizovanou správu domény, postupem času však zastřešila širokou škálu služeb souvisejících s adresářovými službami.

Zerologon útočí

Nejpodstatnějším faktem je, že Microsoft vydal na chybu, evidovanou jako CVE-2020-1472, bezpečnostní záplatu. Ta je k dispozici pro operační systémy Windows Server 2008, Windows Server 2012, Windows Server 2012 R2 a Windows Server 2019. S ohledem na závažnost situace je záplata označena jako kritická.

Nezávislý expert Kevin Beaumont publikoval v pátek na svém blogu informaci, že zaznamenal aktivní pokusy o útok přes bezpečnostní díru Zerologon. K tomuto zjištění dospěl díky svému testovacímu serveru vystavenému do internetu, který má fungovat jako návnada pro útočníky („honeypot“).

Na serveru bez aplikované záplaty mohou hackeři pomocí skriptu v prostředí PowerShell změnit heslo správce a následně „otevřít zadní vrátka“ („backdoor“). Rostoucí zájem o zneužití uvedené bezpečnostní díry ukazuje, že útočníci používají Zerologon pro vzdálené spuštění kódu na strojích připojených k internetu.

Bez záplaty ani ránu!

Beaumont v rozhovoru uvedl, že útok proběhl pomocí skriptu a všechny příkazy byly dokončeny během několika sekund. Útočníci nainstalovali zadní vrátka umožňující vzdálený přístup pro správu k zařízení a založili si účet s uživatelským jménem sdb a heslem jinglebell110@.

Zásadní je, že hackeři také povolili funkci Vzdálená plocha. To v praxi znamená, že budou mít k dispozici vzdálený přístup i v případě, že administrátor nakonec provede instalaci bezpečnostní záplaty bez dalších opatření. Beaumontova zjištění přinesla dosud nejpodrobnější údaje o útocích, které využívají zmíněnou kritickou zranitelnost.

Již koncem září a znovu na začátku října Microsoft varoval, že chyba Zerologon je aktivně zneužívána hackery. Někteří z nich (nebo všichni) jsou součástí hackerské skupiny Merkur, která má vazby na íránskou vládu. Patrně největší nebezpečí tkví v možnosti získat pověření pro správu domény.

Diskuze (5) Další článek: Plně nabitý telefon za 19 minut. Xiaomi ukázalo bezdrátové nabíjení výkonem 80 W

Témata článku: , , , , , , , , , , , , , , , , , , , ,