شرکت مایکروسافت در تلاش است تا به بخش شناسایی حملات Bronze Bit در نرم افزار Microsoft Defender for Identity، پشتیبانی لازم را اضافه نماید تا شناسایی هرگونه تلاش برای سوء استفاده از باگ مرتبط با نفوذ امنیتی به Windows Kerberos که به عنوان آسیب پذیری CVE-2020-17049 شناخته میشود را برای تیم عملیات امنیتی ساده کند.
Microsoft Defender for Identity (که در گذشته به عنوان محافظت پیشرفته Azure در برابر تهدیدات شناخته میشد) یک راه حل امنیتی مبتنی بر ابر میباشد که سیگنالهای Active Directory مستقر در سرور فیزیکی را افزایش میدهد. این پشتیبانی به تیمهای عملیات امنیتی اجازه میدهد که شناسایی و تحقیق پیشرفتهتر تهدیدات را انجام داده و در این صورت هر گونه نفوذ و فعالیت مخربی را که به دنبال هدف قرار دادن سازمانها میباشند را شناسایی کنند.
نقص امنیتی مرتبط با این اقدام امنیتی که در اصلاحیه نوامبر 2020 توسط مایکروسافت ارائه شده بود، با نام حملات بیت برنزی کربروس یا Kerberos Bronze Bit شناخته میشود. مایکروسافت اعلام کرده که آسیبپذیری Bronze Bit دارای دو فاز اجرایی است که اولین فاز آن در تاریخ 8 دسامبر شروع خواهد شد و فاز اجرای خودکار آن نیز تاریخ 9 فوریه سال آتی خواهد بود.
یک ماه بعد از اینکه مایکروسافت وصلههای امنیتی آسیبپذیری CVE-2020-17049 را ارائه کرد، مشخص شد که این آسیبپذیری میتواند به عبور از محافظت Kerberos منجر شود که در این صورت مهاجم دسترسیهای بیشتری را خواهد داشت و میتواند به طور کامل کنترل سیستم را به دست گیرد.
شناسایی حملات Zerologon و PrintNightmare
در ماه جولای سال جاری، مایکروسافت تشخیص اکسپلویتهای PrintNightmare و پیش از آن در نوامبر 2020، تشخیص اکسپلویتهای Zerologon را به بخش پشتیبانی Microsoft Defender for Identity اضافه کرد.
هر دو آسیبپذیری بسیار خطرناک هستند. به وسیله CVE-2021-34527 (PrintNightmare) مهاجم با ارتقاء امتیاز و به دست آوردن دسترسی ادمین، کنترل سرورهای آسیبپذیر را در دست میگیرد. همچنین، از آسیبپذیری CVE-2020-1472 (Zerologon) برای بالا بردن سطح دسترسی استفاده میشود تا با جا زدن خود به عنوان کنترل کننده دامنه، تمام دامنه را تصاحب کند. گروههای بسیاری چون Vice Society ،Conti و Magnibar نیز از آسیبپذیری PrintNightmare برای نفوذ به سرورهای آسیب پذیر استفاده کردهاند.
