Unlängst wurde eine Sicherheitslücke im Netlogon-Remote-Protokoll von Windows Server publik gemacht ("Swiss IT Magazine" berichtete). Der Bug, der mittlerweile die Bezeichnung Zerologon erhalten hat, ermöglicht es einem Angreifer, einen Domain Controller komplett zu übernehmen, und findet sich in allen Server-Versionen seit 2008. Microsoft hat frühzeitig Security-Updates für alle betroffenen Version veröffentlicht.
Wie jetzt aber Microsofts Security-Abteilung via Twitter meldet, wird die Sicherheitsschwachstelle bereits für Angriffe missbraucht und man habe entsprechende Angriffe beobachten können.
Microsoft is actively tracking threat actor activity using exploits for the CVE-2020-1472 Netlogon EoP vulnerability, dubbed Zerologon. We have observed attacks where public exploits have been incorporated into attacker playbooks. — Microsoft Security Intelligence (@MsftSecIntel) September 24, 2020
Die von Microsoft veröffentlichten Updates stehen zwar bereits seit dem 11. August zur Verfügung, doch wurden sie offenbar nicht von allen Administratoren umgehend installiert. (rd)
Quelle ItMagazine (https://www.itmagazine.ch/Artikel/73059/Microsoft_warnt_vor_Zerologon-Angriffen.html)