De kwetsbaarheid Zerologon die is gevonden in Active Directory vorige maand, wordt volop gebruikt door hackers. Kwaadwillenden gebruiken de kwetsbaarheid om binnen te komen in servers waar de gegevens van gebruikers en beheerders op staan.
Zerologon geeft aanvallers toegang tot active directories waarmee admins zaken die met accounts op het netwerk te maken kunnen regelen. Het is een van de grote ‘schatten’ die je als hacker kunt tegenkomen. Toen de Zerologon-kwetsbaarheid bekend werd, werd er direct volop aangevallen.
Zerologon
Logisch, want dankzij Zerologon kan een hacker toegang krijgen tot alle machines die zich op een netwerk bevinden. Er is wel een patch voor uitgegeven door Microsoft, in augustus al, maar die blijkt toch niet helemaal voldoende te zijn. Onderzoeker Kevin Beaumont beschrijft in een blog op DoublePulsar dat hij nog steeds veel aanvallen waarneemt.
Een server die de patch nog niet heeft gekregen wordt gemakkelijk met een powershell script aangevallen, waarna het admin-wachtwoord snel wordt veranderd. Alle commands worden binnen luttele seconden gedaan. Hackers installeren snel een soort achterdeur waarmee ze beheerdersrechten krijgen tot alle systemen in het netwerk. Ze laten Remote Desktop bovendien werken, waardoor er zelfs nadat een server is gepatcht nog steeds toegang is.
Hackersgroep Mercury
Kortom, de hackers zijn heel efficiënt bezig. Zeker een bepaalde hackersgroep genaamd Mercury is enorm actief als het gaat om het misbruiken van Zerologon. Zerologon draagt zijn naam omdat hackers slechts een reeks 0’en hoeven te gebruiken om er verder mee te komen. Die 0’en gebruiken servers ook om hun werk te doen.
De exploit wordt gebruikt om de adminrechten te krijgen, mits aanvallers TCP-verbindingen kunnen maken. In sommige gevallen kunnen aanvallers een andere kwetsbaarheid gebruiken om voet aan de grond te krijgen binnen een netwerk, maar dan wordt alsnog Zerologon ingezet om de domeincontroller over te nemen. Het is een gevaarlijke exploit, zeker nu de Amerikaanse verkiezingen eraan komen.