Microsoft lança atenuação da fase 2 para falha do Zerologon. A vulnerabilidade de execução remota de código Netlogon, divulgada em agosto passado, foi transformada em arma por grupos APT.
Desde agosto de 2020, a Microsoft alertou seus usuários para aplicar um patch parcial que a empresa lançou para a vulnerabilidade do Zerologon. Em setembro, a Agência de Segurança Cibernética e de Infraestrutura dos Estados Unidos e outras empresas de segurança começaram a emitir avisos sobre a falha, observando que os agentes de ameaças buscavam tirar proveito de sistemas sem patch.
Zerologon é uma vulnerabilidade de elevação de privilégio quando um invasor estabelece uma conexão de canal seguro Netlogon vulnerável com um controlador de domínio, usando o protocolo remoto Netlogon ( MS-NRPC ). Um invasor que explorar com êxito a vulnerabilidade pode executar um aplicativo especialmente criado em um dispositivo da rede.
A Microsoft lançou a primeira fase do patch em 11 de agosto para mitigar parcialmente a vulnerabilidade e agora está lançando a fase dois para atenuação da vulnerabilidade crítica do Zerologon. O CVE-2020-1472 é uma falha de elevação de privilégio que afeta o protocolo remoto do Windows Netlogon (MS-NRPC).
MS-NRPC é um componente de autenticação central do Active Directory. Esta vulnerabilidade existe quando um invasor cria uma conexão de canal seguro Netlogon vulnerável a um controlador de domínio usando MS-NRPC. Com essa conexão, um invasor não precisa se autenticar para elevar seus privilégios e se tornar um administrador. Um invasor não autenticado pode usar esse acesso para executar código arbitrário em controladores de domínio do Windows afetados.
As preocupações com o Zerologon aumentaram rapidamente depois que a Microsoft lançou a primeira parte de sua mitigação em agosto. Em meados de setembro, o código de exploração disponível publicamente foi descoberto. Pouco depois, a Agência de Segurança Cibernética e de Infraestrutura (CISA) do DHS emitiu uma diretiva de emergência exigindo que as agências federais atenuassem a falha até a meia-noite de 21 de setembro.
Não demorou muito para que atacantes avançados adicionassem Zerologon a seus kits de ferramentas. Em outubro de 2020, o grupo APT iraniano Mercury foi visto usando a vulnerabilidade em uma série de ataques que a Microsoft detectou.
A partir da atualização de segurança de 9 de fevereiro de 2021, os controladores de domínio do Windows serão colocados no modo de aplicação. Isso requer que todos os dispositivos Windows e não Windows usem Chamada de Procedimento Remoto (RPC) segura com canal seguro Netlogon. Esta atualização irá bloquear conexões vulneráveis de dispositivos não compatíveis, a menos que esses dispositivos recebam manualmente uma exceção para permitir conexões de canal seguro Netlogon vulneráveis.
Para mais detalhes veja CVE-2020-1472 – Security Update Guide – Microsoft – Vulnerabilidade de Elevação de Privilégio no Netlogon .
Fonte: Microsoft & DarkReading
Veja também:
Deixe sua opinião!