Due giorni dopo che i cacciatori di bug e gli analisti di intelligence sulle minacce hanno lanciato l'allarme su Zerologon, Microsoft ha affermato che i gruppi di hacker stanno utilizzando la vulnerabilità dell'escalation dei privilegi contro i sistemi operativi Windows server in natura.
Gli analisti hanno avvertito martedì che l'exploit si sarebbe probabilmente mostrato negli strumenti di hacking open source e sarebbe stato utilizzato negli attacchi.
“Microsoft sta monitorando attivamente l'attività degli attori delle minacce utilizzando gli exploit per [Zerologon]. Abbiamo osservato attacchi in cui gli exploit pubblici sono stati incorporati nei playbook degli aggressori ", ha annunciato il 23 settembre su Twitter il ramo Security Intelligence di Microsoft, pubblicando al contempo un relativo esempio di Indicator of Compromise.
SC Media ha contattato Microsoft per ulteriori dettagli e aggiornerà questo articolo con qualsiasi risposta.
Sebbene i professionisti della sicurezza siano spesso sommersi da bug che necessitano di patch o correzioni, c'era motivo di dare la priorità a questa particolare debolezza. Oltre ad essere classificate come "critiche", più aziende, inclusa Secura, che per prima ha identificato la vulnerabilità, hanno già sviluppato un codice di prova. I ricercatori di sicurezza sono stati anche in grado di aggiungerlo facilmente agli strumenti di hacking open source esistenti e apportare modifiche che lo rendevano più economico e facile da usare contro le aziende per gli hacker malintenzionati.
Alle agenzie federali civili è stato ordinato di patchare immediatamente i loro sistemi a causa della disponibilità pubblica del codice dannoso, della prevalenza di tali controller di dominio tra le agenzie federali (per non parlare del settore privato), dell '"alto potenziale di compromesso" e della "grave impatto di un compromesso riuscito. "
Tutte le analisi hanno indicato lo stesso consiglio ai professionisti della sicurezza: non perdere molto tempo a cercare di rilevare questo difetto. Patch tutto e patch ora.
"A causa della disponibilità del codice di exploit e dell'elevato impatto dello sfruttamento di successo, sono attesi attacchi nel mondo reale nell'immediato futuro", ha avvertito questa settimana la società di sicurezza eSentire ai suoi clienti. "Lo sfruttamento di successo potrebbe portare a privilegi elevati (come l'amministratore di dominio), rendendo questo exploit estremamente prezioso per gli avversari con un punto d'appoggio all'interno delle reti."
Il post Microsoft che già vedeva l'exploit di Zerologon in the wild è apparso per primo su SC Media .