Hackers iranianos explorando a falha de ‘Zerologon’. A Microsoft diz que outros hackers estão enviando atualizações de software falsas.
A Microsoft está alertando que hackers com conexões com o Irã, bem como outros agentes de ameaça, estão tentando explorar uma vulnerabilidade crítica no Windows Server apelidada de “Zerologon“, para a qual foi lançado um patch parcial.
As equipes de segurança da Microsoft descobriram que um grupo de hackers estatal que a empresa chama de Mercury, que aparentemente tem laços com o Irã, vem tentando explorar a vulnerabilidade Zerologon não corrigida nas últimas duas semanas. A vulnerabilidade, que é rastreada como CVE-2020-1472 , recebeu uma pontuação CVSS de 10 – a mais crítica.
Alguns dos outros agentes de ameaças que tentam explorar o Zerologon estão enviando mensagens disfarçadas de atualizações de software para baixar códigos maliciosos em dispositivos para se conectar a um servidor de comando e controle, diz a Microsoft .
Desde agosto, a Microsoft alertou seus usuários para aplicar um patch parcial que a empresa lançou para a vulnerabilidade do Zerologon. Em setembro, a Agência de Segurança Cibernética e de Infraestrutura dos Estados Unidos e outras empresas de segurança começaram a emitir avisos sobre a falha, observando que os agentes de ameaças buscavam tirar proveito de sistemas sem patch.
Preocupações sobre o Irã
Segundo o site Bank Info Security, o Mercury, ligado ao Irã, grupo de ameaças persistentes avançadas, também conhecido como MuddyWater , Static Kitten e Seedworm, é conhecido principalmente por ter como alvo vítimas no Oriente Médio, mas também lançou campanhas de espionagem contra organizações nos EUA e na Índia, de acordo com relatórios de segurança.
O grupo, que está ativo desde 2017, usa uma ampla variedade de táticas e ferramentas contra seus alvos (veja: MuddyWater APT Group atualiza táticas para evitar detecção ).
Brandon Hoffman, CISO da empresa de segurança Netenrich, observa que os hackers iranianos se desenvolveram na exploração de vulnerabilidades, incluindo o Zerologon.
“Com o passar dos anos, os iranianos quase se especializaram em tirar vantagem das vulnerabilidades de tecnologia remota, mais notavelmente os problemas da Citrix no ano passado”, disse Hoffman ao Information Security Media Group. “Eles também são notórios por visar produtos da Microsoft ao mesmo tempo, embora visar a Microsoft certamente não tenha exclusividade”.
Outras Ameaças
As mensagens falsas que outros agentes de ameaças estão enviando sobre atualizações de software podem “fazer com que o [Controle de conta de usuário] seja ignorado e use wscript.exe para executar scripts maliciosos“, segundo a Microsoft.
Kevin Beaumont, analista sênior de inteligência de ameaças da Microsoft Threat Intelligence, observou no Twitter que esse tipo de exploração pode permitir que os agentes da ameaça infectem endpoints dentro de uma organização vulnerável, o que pode então levar a ataques como ransomware.
Avisos sobre Zerologon
Existe uma vulnerabilidade de elevação de privilégio quando um invasor estabelece uma conexão de canal seguro Netlogon vulnerável com um controlador de domínio, usando o protocolo remoto Netlogon ( MS-NRPC ). Um invasor que explorar com êxito a vulnerabilidade pode executar um aplicativo especialmente criado em um dispositivo da rede.
A Microsoft lançou a primeira fase do patch em 11 de agosto para mitigar parcialmente a vulnerabilidade. Ela planeja lançar um segundo patch em 9 de fevereiro de 2021, que tratará da fase de aplicação da atualização. Em setembro, a empresa emitiu um comunicado para esclarecer como o patch inicial deve ser aplicado.
“Os [controladores de domínio] agora estarão no modo de imposição, independentemente da chave de registro do modo de imposição“, de acordo com a Microsoft. “Isso requer que todos os dispositivos Windows e não-Windows usem [Remote Procedure Call] com canal seguro Netlogon ou permitam explicitamente a conta adicionando uma exceção para o dispositivo não compatível.“
Para explorar a vulnerabilidade, um invasor não autenticado teria que usar o MS-NRPC para se conectar a um controlador de domínio para obter acesso de administrador de domínio.
A Microsoft está abordando a vulnerabilidade em uma distribuição em duas partes em fases. Essas atualizações corrigem a vulnerabilidade, modificando como o Netlogon lida com o uso de canais seguros do Netlogon.
Para obter orientações sobre como gerenciar as alterações necessárias para esta vulnerabilidade e mais informações sobre a distribuição em fases, consulte Como gerenciar as alterações nas conexões de canal seguro Netlogon associadas a CVE-2020-1472 .
Portanto, as versões 4.8 e superiores não são vulneráveis a menos que tenham as linhas smb.conf ‘server schannel = no’ ou ‘server schannel = auto’. As versões 4.7 e inferiores do Samba são vulneráveis, a menos que tenham ‘server schannel = yes’ no smb.conf.
Observe que cada controlador de domínio precisa das configurações corretas em seu smb.conf.
Os pesquisadores disseram ao The Register que o Samba rodando como um Active Directory ou controlador de domínio no estilo NT4 clássico está em risco e, embora as instalações apenas de servidor de arquivos não sejam afetadas diretamente, “eles podem precisar de alterações de configuração para continuar a falar com os controladores de domínio”.
“Os servidores de arquivos e membros do domínio não executam o serviço netlogon nas versões do Samba com suporte e só precisam garantir que não tenham definido ‘client schannel = no’ para operação contínua em controladores de domínio protegidos como o Samba 4.8 e posterior, e controladores de domínio do Windows em 2021” acrescentaram Bartlett e Bagnall.
Fonte: Bank Info Security & The Register & Microsoft
Veja também:
- NIST divulga guia atualizado para privacidade e controles de segurança
- Mais de 40% de todas as VPNs Android gratuitas vazam dados pessoais
- Software de segurança de Internet GRÁTIS para windows 2020
- Airbnb Data Blunder expõe caixas de entrada de hosts
- Hospital dos EUA paga resgate para não ter PII publicados da Dark Web
- A Lei 14.063/2020 reconhece o valor das assinaturas digitais e faz a distinção entre assinaturas avançadas e qualificadas
- Cyrela é a primeira empresa a ser penalizada pela LGPD
- Joker Malware visa usuários Android para roubar mensagens SMS e listas de contatos
- Gartner: pagar após ataques de ransomware traz grandes riscos
- Google Cloud Buckets expostos por configuração incorreta
- Vulnerabilidade crítica do Windows Server afeta também Samba
- Atualização de segurança do Google Chrome – Atualize Agora!
3 Trackbacks / Pingbacks