Cảnh báo tin tặc khai thác lỗ hổng Zerologon

Cơ quan an ninh mạng và cơ sở hạ tầng (CISA) của Mỹ đã đưa ra cảnh báo về việc những kẻ tấn công đang nhắm mục tiêu vào một lỗ hổng đã được xử lý mới đây trong giao thức từ xa Netlogon (MS-NRPC) trên Windows của Microsoft.

 Lỗ hổng có tên Zerologon, có số hiệu là CVE-2020-1472, đã được vá trong tháng 8/2020. Sang đầu tháng 9, CISA đã đưa ra hướng dẫn khẩn cấp yêu cầu tất cả các cơ quan trong liên bang cài đặt những bản vá trong vòng 3 ngày.

Lỗ hổng cho phép kẻ tấn công không xác thực kết nối tới trình điều khiển tên miền sử dụng Netlogon để chiếm quyền truy nhập của quản trị tên miền.

20211215-pg7.jpg

Microsoft tiết lộ rằng đã phát hiện thấy những nỗ lực đầu tiên nhắm vào lỗ hổng Zerologon và CISA đã nhanh chóng đưa ra cảnh báo về các cuộc tấn công này.

CISA cho biết: "CISA đã nhận thấy hoạt động khai thác lỗ hổng CVE-2020-1472 trong Microsoft. Một kẻ tấn công từ xa có thể khai thác lỗ hổng này để xâm phạm những trình điều khiển tên miền Active Directory chưa được vá và chiếm được quyền truy nhập tên miền".

CISA một lần nữa nhấn mạnh sự cần thiết phải áp dụng các bản vá đã có, vì điều đó giúp ngăn chặn việc khai thác và thông báo việc cập nhật bản vá có thể giúp các tổ chức xác định được những trình điều khiển tên miền vẫn chưa được vá của Microsoft.

Theo CISA, các quản trị viên cần ngay lập tức vá tất các trình điều khiển tên miền bởi toàn bộ cơ sở hạ tầng vẫn có thể bị tấn công cho đến khi mọi trình điều khiển tên miền được vá.

Tuần trước, CISA đã cảnh báo lỗ hổng được mang tên "ZeroLogon", có số hiệu là CVE-2020-1472, được nhà nghiên cứu bảo mật Tom Tervoort của Secura phát hiện. Lỗ hổng tồn tại do việc sử dụng mã hóa AES-CFB8 không an toàn trong các phiên Netlogon, cho phép các tin tặc từ xa thiết lập một kết nối tới trình điều khiển miền mục tiêu trên giao thức Netlogon Remote Protocol (MS-NRPC).