Den så kallade Zerologon-sårbarheten (CVE-2020-1472 ) upptäcktes av it-säkerhetsföretaget Secura och har klassats som en tia (10/10) på CVSS-skalan. Sårbarheten gör det möjligt för vilken dator som helst på ett nätverk med AD-domänkontrollanter att upphöja användaren till domänadministratör. Vad som kan hända därefter kan de flesta räkna ut.

Secura utvecklade inte en så kallad proof-of-concept, men förklarade hur sårbarheten kan utnyttjas. Utifrån den informationen har andra säkerhetsföretag utvecklat flera PoC:er. Dessa har nu upptäckts av Microsoft som en del av nyttolasten i verkliga angrepp, rapporterar Bleeping Computer.

Extra känsliga

Microsoft släppte en uppdatering i samband med augusti månads patch-tisdag. Men som vanligt är det inte alla som kan implementera uppdateringen omedelbart. Just domänkontrollanter är extra känsliga och administratörerna skyndar långsamt.

Den amerikanska säkerhetsmyndigheten CISA har tidigare gått ut med varningar i USA, och mer eller mindre tvingat alla offentliga organisationer att uppdatera sina system innan den gångna tisdagen. Även svenska MSB/CERT-SE varnar för Zerologon.

TechWorld har fått tips om en tredjeparts mikropatch för Windows Server 2008 R2 för dem som inte kan använda Microsofts hela uppdatering (som är ett paket av flera olika patchar, för olika sårbarheter). Mikropatchen ska användas med försiktighet och på egen risk.

Läs också:
Zerologon – ”den mest vansinniga Windows-buggen hittills”
Microsoft blockerar fem miljarder hot om året – så går det till