ZeroLogon
ZeroLogon ist der Name für eine äußerst bedrohliche Sicherheitsanfälligkeit, die im August 2020 von Microsoft offengelegt und gepatcht wurde. Die Sicherheitsanfälligkeit erhielt die Kennung CVE-2020-1472 und erhielt den maximalen Schweregrad von 10. Der Exploit nutzt die verwendeten schwachen kryptografischen Algorithmen im Netlogon-Authentifizierungsprozess. Durch den Fehler können Bedrohungsakteure Sicherheitsmaßnahmen deaktivieren, die im Netlogon-Authentifizierungsprozess gefunden wurden, das Kennwort für Active Directory ändern, eine Datenbank, die alle mit einer Domäne verbundenen Computer und die Kennwörter des Domänencontrollers enthält, sowie die Identität eines Computers im Netzwerk nachahmen, wenn eine Authentifizierung für den Domänencontroller durchgeführt wird.
ZeroLogon hat eine massive Einschränkung - es kann nicht verwendet werden, um Windows-Server von außerhalb ihres Netzwerks zu übernehmen. Die Bedrohungsakteure müssen zunächst Fuß fassen. Wenn sie dies jedoch können, können sie mit ZeroLogon die Windows-Domäne innerhalb von Sekunden vollständig kompromittieren.
ZeroLogon wurde möglicherweise gepatcht, aber Hacker-Gruppen verwenden es weiterhin in ihren Angriffskampagnen. Tatsächlich haben Infosec-Forscher eine massive Kampagne für Unternehmen aus den Bereichen Automobil, Pharmazie und Maschinenbau aufgedeckt. Die Kampagne wurde der Advanced Persistent Threat (APT) -Gruppe Cicada zugeschrieben, die auch als APT10, Stone Panda und Cloud Hopper bekannt ist. Nach Angaben der US-Regierung werden die Operationen der Zikade von China gesponsert.
Historisch gesehen ist Japan die bevorzugte Region der Gruppe, und die neu entdeckte Kampagne ist keine Ausnahme. Viele der alten Methoden, Techniken und Verfahren von Cicada werden in dieser neuesten Operation vollständig gezeigt, es gibt jedoch auch einige neue Ergänzungen. Die Ausnutzung der ZeroLogon-Sicherheitsanfälligkeit wurde von diesem speziellen APT bisher nicht gesehen. Cicada hat außerdem einen brandneuen Malware-Strang namens Backdoor.Hartip entwickelt und bereitgestellt.
Das Ziel der Kampagne ist höchstwahrscheinlich Datendiebstahl und Cyberspionage. Zu den Informationen, die auf die Server der Hacker übertragen werden, gehören Unternehmensunterlagen, Kosteninformationen, Sitzungsprotokolle, HR-Dokumente usw.
Unternehmen hatten mehrere Monate Zeit, um die ZeroLogon-Sicherheitsanfälligkeit zu beheben. Wer dies jedoch noch nicht getan hat, sollte seine Cybersicherheitsprioritäten wirklich überdenken.
