L’acteur de menace lié à l’Iran connu sous le nom de MuddyWater cible activement la vulnérabilité Zerologon dans Windows Server, avertit Microsoft.

Également connu sous le nom de Seedworm, MERCURY et Static Kitten, et initialement analysé en 2017, MuddyWater se concentre principalement sur les organisations du Moyen-Orient et des régions voisines. Très actif, le groupe a été observé en train d’élargir sa liste de cibles et de tirer parti d’un ensemble d’outils large et varié.

Bien que de plus amples détails sur les opérations de l’acteur menaçant soient apparus l’année dernière (après qu’une entité inconnue ait publié des documents sur plusieurs groupes iraniens), et malgré le contrôle minutieux des chercheurs en sécurité, MuddyWater continue d’évoluer ses stratégies.

Selon Microsoft, l’un des derniers changements dans la tactique du groupe est l’adoption d’exploits pour Zerologon, une vulnérabilité de protocole distant Netlogon (MS-NRPC) qui a été corrigée en août 2020.

En exploitant le bogue, un attaquant non authentifié pourrait obtenir un accès administrateur de domaine, entraînant une prise de contrôle complète.

«MSTIC a observé l’activité de l’acteur d’État-nation MERCURY utilisant l’exploit CVE-2020-1472 (ZeroLogon) dans des campagnes actives au cours des 2 dernières semaines. Nous vous recommandons vivement d’appliquer des correctifs », a déclaré Microsoft sur Twitter.

Microsoft et CISA ont déjà émis des alertes sur les attaquants ciblant la vulnérabilité, exhortant les administrateurs à appliquer les correctifs disponibles dès que possible, à tous les contrôleurs de domaine de leurs environnements.

En fait, CISA a même publié une directive d’urgence exigeant que toutes les agences fédérales appliquent les correctifs immédiatement. Samba a également publié des correctifs pour le bogue.

La correction de cette vulnérabilité se fera en deux étapes, a révélé Microsoft. La première consiste à appliquer les correctifs d’août 2020, tandis que la seconde est une phase d’application qui débutera le 9 février 2021.

La semaine dernière, Microsoft a également annoncé que l’exploitation de Zerologon est désormais détectée par Microsoft …