黑客正在使用一个严重的Windows漏洞来后门未打补丁的服务器

2020-10-17 03:55:48

一名研究人员周五表示,今年披露的最严重的Windows漏洞之一正受到黑客的积极攻击,他们试图后门服务器,这些服务器存储着网络上每个用户和管理账户的凭据。

这个漏洞被称为Zerologon,上个月发现它的公司表示,它可以让攻击者即时访问活动目录,管理员使用这些目录创建、删除和管理网络账户,这引起了广泛关注。活动目录和它们运行的域控制器是黑客最梦寐以求的奖品之一,因为一旦被劫持,它们就可以让攻击者在所有连接的机器上一致执行代码。微软在8月份为CVE-2020-1472打了补丁,因为安全漏洞被编入了索引。

周五,以独立研究员身份工作的凯文·博蒙特(Kevin Beaumont)在一篇博客文章中表示,他检测到有人攻击他用来跟上黑客在野外使用的攻击的蜜罐。当他的诱饵服务器未打补丁时,攻击者能够使用Powershell脚本成功更改管理员密码并使服务器后门。

在一次采访中,博蒙特说,这次攻击似乎完全是按脚本进行的,所有命令都在几秒钟内完成。这样,攻击者就安装了一个后门,允许远程管理访问他的模拟网络内的设备。攻击者-他们使用用户名sdb和密码jinglebel110@设置了一个帐户-还启用了远程桌面。因此,如果稍后修补CVE-2020-1472,攻击者将继续拥有远程访问权限。