Cisco waarschuwt voor misbruik van Zerologon-lek in Windows Server

[Captain Kirk]

Na Microsoft en de Amerikaanse overheid heeft ook Cisco een waarschuwing afgegeven voor actief misbruik van het "Zerologon-lek" in Windows Server. Volgens het netwerkbedrijf is er een toename van het aantal exploitpogingen zichtbaar. Via de kwetsbaarheid in het Netlogon-onderdeel van Windows Server kan een aanvaller domeinbeheerdertoegang krijgen.

Microsoft bracht op 11 augustus een beveiligingsupdate uit. Vorige week waarschuwde het techbedrijf dat het aanvallen had waargenomen waarbij het beveiligingslek, dat de naam Zerologon heeft gekregen, actief werd misbruikt. Om de kwetsbaarheid te kunnen misbruiken moet een aanvaller wel eerst toegang tot een systeem hebben. Daarvandaan is het vervolgens mogelijk om via het lek domeinbeheerder te worden en zo volledige controle over het netwerk te krijgen.

Het Amerikaanse ministerie van Homeland Security kwam vanwege de impact met een aparte "Emergency Directive" waarin federale overheidsinstanties werden verplicht om de beveiligingsupdate voor maandagmiddag 21 september te installeren. Een aantal dagen later meldde ook het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) actief misbruik van de kwetsbaarheid en riep organisaties op om alle domeincontrollers meteen te patchen. Een advies dat door de Britse overheid werd overgenomen (pdf).

Nu meldt Cisco dat het een stijging van het aantal exploitpogingen ziet. Securitybedrijf Pen Test Partners laat daarbij weten dat er ook een risico bestaat dat ontevreden eigen personeel van organisaties, wanneer er een eenvoudige 'point and click' exploit verschijnt, de kwetsbaarheid kan gaan misbruiken.

 

bron: security.nl