ZeroLogon
ZeroLogon est le nom donné à une vulnérabilité extrêmement menaçante qui a été divulguée et corrigée par Microsoft en août 2020. La vulnérabilité a reçu l'identifiant CVE-2020-1472 et a reçu la cote de gravité maximale de 10. L'exploit tire parti des faibles algorithmes cryptographiques utilisés dans le processus d'authentification Netlogon. Grâce au bogue, les acteurs de la menace peuvent désactiver les mesures de sécurité trouvées dans le processus d'authentification Netlogon, modifier le mot de passe pour Active Directory, qui est une base de données contenant tous les ordinateurs connectés à un domaine et les mots de passe du contrôleur de domaine, ainsi que l'usurpation d'identité l'identité de n'importe quelle machine sur le réseau lors de l'authentification pour le contrôleur de domaine.
ZeroLogon a une limitation massive; par conséquent, il ne peut pas être utilisé pour prendre en charge des serveurs Windows hors de leur réseau. Les acteurs de la menace doivent d'abord prendre pied, mais s'ils sont capables de le faire, ZeroLogon leur permet de compromettre complètement le domaine Windows en quelques secondes.
ZeroLogon a peut-être été patché, mais les groupes de hackers l'utilisent toujours dans leurs campagnes d'attaque. En fait, une campagne massive ciblant les entreprises des secteurs de l'automobile, de la pharmacie et de l'ingénierie a été mise au jour par les chercheurs d'Infosec. La campagne a été attribuée au groupe Advanced Persistent Threat (APT) Cicada, également connu sous le nom d' APT10, Stone Panda et Cloud Hopper. Selon le gouvernement américain, les opérations de Cicada sont parrainées par la Chine.
Historiquement, la région préférée du groupe est le Japon, et la campagne récemment découverte ne fait pas exception. Beaucoup des anciennes méthodes, techniques et procédures de Cicada sont pleinement exposées dans cette dernière opération, mais plusieurs nouveaux ajouts existent également. L'exploitation de la vulnérabilité ZeroLogon n'a jamais été vue auparavant par cet APT particulier. Cicada a également développé et déployé un tout nouveau volet de logiciels malveillants appelé Backdoor.Hartip.
L'objectif de la campagne est très probablement le vol de données et le cyberespionnage. Les informations exfiltrées vers les serveurs des pirates informatiques comprennent les enregistrements d'entreprise, les informations sur les dépenses, les transcriptions de réunions, les documents RH, etc.
Les organisations ont eu plusieurs mois pour corriger la vulnérabilité ZeroLogon, mais ceux qui ne l'ont pas encore fait devraient vraiment reconsidérer leurs priorités en matière de cybersécurité.
