Hackers iranianos explorando a falha de ‘Zerologon’

Hackers iranianos explorando a falha de ‘Zerologon’. A Microsoft diz que outros hackers estão enviando atualizações de software falsas.

A Microsoft está alertando que hackers com conexões com o Irã, bem como outros agentes de ameaça, estão tentando explorar uma vulnerabilidade crítica no Windows Server apelidada de “Zerologon“, para a qual foi lançado um patch parcial.

As equipes de segurança da Microsoft descobriram que um grupo de hackers estatal que a empresa chama de Mercury, que aparentemente tem laços com o Irã, vem tentando explorar a vulnerabilidade Zerologon não corrigida nas últimas duas semanas. A vulnerabilidade, que é rastreada como CVE-2020-1472 , recebeu uma pontuação CVSS de 10 – a mais crítica.

Alguns dos outros agentes de ameaças que tentam explorar o Zerologon estão enviando mensagens disfarçadas de atualizações de software para baixar códigos maliciosos em dispositivos para se conectar a um servidor de comando e controle, diz a Microsoft .

Desde agosto, a Microsoft alertou seus usuários para aplicar um patch parcial que a empresa lançou para a vulnerabilidade do Zerologon. Em setembro, a Agência de Segurança Cibernética e de Infraestrutura dos Estados Unidos e outras empresas de segurança começaram a emitir avisos sobre a falha, observando que os agentes de ameaças buscavam tirar proveito de sistemas sem patch.

 

Preocupações sobre o Irã

Segundo o site Bank Info Security, o Mercury, ligado ao Irã, grupo de ameaças persistentes avançadas, também conhecido como MuddyWater , Static Kitten e Seedworm, é conhecido principalmente por ter como alvo vítimas no Oriente Médio, mas também lançou campanhas de espionagem contra organizações nos EUA e na Índia, de acordo com relatórios de segurança.

O grupo, que está ativo desde 2017, usa uma ampla variedade de táticas e ferramentas contra seus alvos (veja: MuddyWater APT Group atualiza táticas para evitar detecção ).

Brandon Hoffman, CISO da empresa de segurança Netenrich, observa que os hackers iranianos se desenvolveram na exploração de vulnerabilidades, incluindo o Zerologon.

Com o passar dos anos, os iranianos quase se especializaram em tirar vantagem das vulnerabilidades de tecnologia remota, mais notavelmente os problemas da Citrix no ano passado”, disse Hoffman ao Information Security Media Group. “Eles também são notórios por visar produtos da Microsoft ao mesmo tempo, embora visar a Microsoft certamente não tenha exclusividade”.

 

Outras Ameaças

As mensagens falsas que outros agentes de ameaças estão enviando sobre atualizações de software podem “fazer com que o [Controle de conta de usuário] seja ignorado e use wscript.exe para executar scripts maliciosos“, segundo a Microsoft.

Kevin Beaumont, analista sênior de inteligência de ameaças da Microsoft Threat Intelligence, observou no Twitter que esse tipo de exploração pode permitir que os agentes da ameaça infectem endpoints dentro de uma organização vulnerável, o que pode então levar a ataques como ransomware.

 

Avisos sobre Zerologon

Existe uma vulnerabilidade de elevação de privilégio quando um invasor estabelece uma conexão de canal seguro Netlogon vulnerável com um controlador de domínio, usando o protocolo remoto Netlogon ( MS-NRPC ). Um invasor que explorar com êxito a vulnerabilidade pode executar um aplicativo especialmente criado em um dispositivo da rede.

A Microsoft lançou a primeira fase do patch em 11 de agosto para mitigar parcialmente a vulnerabilidade. Ela planeja lançar um segundo patch em 9 de fevereiro de 2021, que tratará da fase de aplicação da atualização. Em setembro, a empresa emitiu um comunicado para esclarecer como o patch inicial deve ser aplicado.

Os [controladores de domínio] agora estarão no modo de imposição, independentemente da chave de registro do modo de imposição“, de acordo com a Microsoft. “Isso requer que todos os dispositivos Windows e não-Windows usem [Remote Procedure Call] com canal seguro Netlogon ou permitam explicitamente a conta adicionando uma exceção para o dispositivo não compatível.

Para explorar a vulnerabilidade, um invasor não autenticado teria que usar o MS-NRPC para se conectar a um controlador de domínio para obter acesso de administrador de domínio.

A Microsoft está abordando a vulnerabilidade em uma distribuição em duas partes em fases. Essas atualizações corrigem a vulnerabilidade, modificando como o Netlogon lida com o uso de canais seguros do Netlogon.

Para obter orientações sobre como gerenciar as alterações necessárias para esta vulnerabilidade e mais informações sobre a distribuição em fases, consulte Como gerenciar as alterações nas conexões de canal seguro Netlogon associadas a CVE-2020-1472 .

Vulnerabilidade crítica do Windows Server afeta também Samba. Os administradores que executam o Samba como seus controladores de domínio devem atualizar suas instalações, pois o software de código-fonte aberto sofre do mesmo buraco ZeroLogon que o Windows Server da Microsoft.
A vulnerabilidade está no design do Netlogon Remote Protocol ( MS-NRPC ) da Microsoft , que o Samba herdou ao oferecer suporte à tecnologia.
 
O protocolo netlogon contém uma falha que permite um desvio de autenticação que foi relatado e corrigido pela Microsoft como CVE-2020-1472. Como o bug é uma falha no nível do protocolo e o Samba implementa o protocolo, o Samba também é vulnerável. No entanto, desde a versão 4.8 (lançada em março de 2018), o comportamento padrão do Samba tem sido insistir em um canal de logon de rede seguro, que é uma correção suficiente contra os exploits conhecidos. Este padrão é equivalente a ter ‘server schannel = yes’ no smb.conf.
Portanto, as versões 4.8 e superiores não são vulneráveis ​​a menos que tenham as linhas smb.conf ‘server schannel = no’ ou ‘server schannel = auto’. As versões 4.7 e inferiores do Samba são vulneráveis, a menos que tenham ‘server schannel = yes’ no smb.conf.
Observe que cada controlador de domínio precisa das configurações corretas em seu smb.conf.

Os pesquisadores disseram ao The Register que o Samba rodando como um Active Directory ou controlador de domínio no estilo NT4 clássico está em risco e, embora as instalações apenas de servidor de arquivos não sejam afetadas diretamente, “eles podem precisar de alterações de configuração para continuar a falar com os controladores de domínio”.

Os servidores de arquivos e membros do domínio não executam o serviço netlogon nas versões do Samba com suporte e só precisam garantir que não tenham definido ‘client schannel = no’ para operação contínua em controladores de domínio protegidos como o Samba 4.8 e posterior, e controladores de domínio do Windows em 2021” acrescentaram Bartlett e Bagnall.

 

Fonte: Bank Info SecurityThe Register & Microsoft

 

Veja também:

Sobre mindsecblog 2385 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

3 Trackbacks / Pingbacks

  1. II Cyber Defense Conference das Américas
  2. Microsoft Defender for Identity agora detecta ataques Zerologon
  3. Microsoft lança atenuação da fase 2 para falha do Zerologon

Deixe sua opinião!