Hacker-gruppen Nobelium er på spil igen og har udsendt en ny malware, som forsøger at udnytte en bagdør i Active Directory.
Sådan lyder advarslen fra Microsofts egen it-sikkerhedsafdeling, MSTIC [‘Microsoft Threat Intelligence Center,’ red] om hacker-gruppen, der i december stod bag SolarWinds-hacket, som lavede ravage i mange selskaber i hele verden.
Nobelium-gruppen har også ifølge Microsoft stået bag en række alvorlige malware som Sunburst, Teardrop, Sibot Sunspot, Raindrop, GoldFinder og andre.
Microsoft kalder den nye sårbarhed for FoggyWeb. Den findes i Active Directory Federation Services-servere.
“Nobelium udnytter FoggyWeb til at infiltrere konfigurations-databasen i kompromitterede AD FS-servere, dekryptere certifikater samt til at downloade og afvikle komponenter,” lyder det fra Microsoft.
Selskabet meddeler, at det har givet alle ramte kunder besked om sårbarheden.
Microsoft opfordrer til, at man omgående skrider til handling, hvis man har mistanke om, at organisationen er blevet ramt.
Er det tilfældet, bør man straks gør tre ting, lyder det fra selskabet.
- Gennemgå både onprem og cloud-infrastruktur - og holde øje med nylige ændringer i konfiguration, settings og lignende.
- Fjerne for adgang fra brugere og apps og udstikke nye og stærke passwords.
- Fremadrettet anvende en HSM - hardware security module - til at forhindre, at der bliver lækket vigtige data via FoggyWeb.
Du kan læse mere hos Microsoft her.
