image

Cisco waarschuwt voor misbruik van Zerologon-lek in Windows Server

dinsdag 29 september 2020, 10:19 door Redactie, 5 reacties

Na Microsoft en de Amerikaanse overheid heeft ook Cisco een waarschuwing afgegeven voor actief misbruik van het "Zerologon-lek" in Windows Server. Volgens het netwerkbedrijf is er een toename van het aantal exploitpogingen zichtbaar. Via de kwetsbaarheid in het Netlogon-onderdeel van Windows Server kan een aanvaller domeinbeheerdertoegang krijgen.

Microsoft bracht op 11 augustus een beveiligingsupdate uit. Vorige week waarschuwde het techbedrijf dat het aanvallen had waargenomen waarbij het beveiligingslek, dat de naam Zerologon heeft gekregen, actief werd misbruikt. Om de kwetsbaarheid te kunnen misbruiken moet een aanvaller wel eerst toegang tot een systeem hebben. Daarvandaan is het vervolgens mogelijk om via het lek domeinbeheerder te worden en zo volledige controle over het netwerk te krijgen.

Het Amerikaanse ministerie van Homeland Security kwam vanwege de impact met een aparte "Emergency Directive" waarin federale overheidsinstanties werden verplicht om de beveiligingsupdate voor maandagmiddag 21 september te installeren. Een aantal dagen later meldde ook het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) actief misbruik van de kwetsbaarheid en riep organisaties op om alle domeincontrollers meteen te patchen. Een advies dat door de Britse overheid werd overgenomen (pdf).

Nu meldt Cisco dat het een stijging van het aantal exploitpogingen ziet. Securitybedrijf Pen Test Partners laat daarbij weten dat er ook een risico bestaat dat ontevreden eigen personeel van organisaties, wanneer er een eenvoudige 'point and click' exploit verschijnt, de kwetsbaarheid kan gaan misbruiken.

Reacties (5)
29-09-2020, 11:34 door _R0N_
Misschien moet ik ook een waarschuwing afgeven..

Waarom een voor een roepen dat er een issue is terwijl er al een oplossing voor bestaat, of installeer je dan een andere ingang?
29-09-2020, 12:57 door Anoniem
Decoy.
Geen enkele toegevoegde waarde.
Cisco heeft weer een aantal ernstige kwetsbaarheden in haar software.
Door naar de buren te wijzen hopen ze onder de radar te blijven.
29-09-2020, 21:48 door Anoniem
Cisco en Google zoeken naar kwetsbaarheden in Windows spullen (en vinden die ook), maar waarom kijken ze niet naar hun eigen sw? Net van Cisco weer de IOS updates voorbij zien komen, 37 stuks, 25 met high prio, de rest met M, want L prio doen ze niet eens meer melden.
30-09-2020, 01:09 door Anoniem
Door Anoniem: Cisco en Google zoeken naar kwetsbaarheden in Windows spullen (en vinden die ook), maar waarom kijken ze niet naar hun eigen sw? Net van Cisco weer de IOS updates voorbij zien komen, 37 stuks, 25 met high prio, de rest met M, want L prio doen ze niet eens meer melden.
Omdat mensen graag verder kijken dan hun eigen neus. Researchers werken vaak ook voor andere bedrijven of zelfstandig. Het kan gaan om reputatie want ze vinden bugs, of ze willen gewoon elke week een LET OP X rapportage doen. Niet zo overanalyseren, laat ze lekker wat dingen roepen en doe gewoon je updates.

Inprincipe is het gewoon een "friendly reminder van cisco", niet zo negatief zijn ;).
30-09-2020, 11:31 door Anoniem
Gewoon alle software heeft Bugs... ongeacht welke vendor ... dat is en blijft zo

Echter Cisco heeft ook een eigen security team wat overstijgend acteert (Cisco Talos)....
https://talosintelligence.com/

Deze monitoren/ researchen vooral 0-days , exploits, malware en misbruik / gebruik daarvan en informeren daarover.

De primaire taak van Talos is volgens mij niet aangeven in welke software bugs zijn gevonden maar het monitoren op gebruik van exploits / analyse van malware , signaleren etc.

Dus Cisco is containerbegrip. Het gaat hier om Cisco Talos.

Deze signaleren ook als men actief misbruik ziet van bekende kwetsbaarheden in Cisco software..
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.