Microsoft lança atenuação da fase 2 para falha do Zerologon

Microsoft lança atenuação da fase 2 para falha do Zerologon. A vulnerabilidade de execução remota de código Netlogon, divulgada em agosto passado, foi transformada em arma por grupos APT.

Desde agosto de 2020, a Microsoft alertou seus usuários para aplicar um patch parcial que a empresa lançou para a vulnerabilidade do Zerologon. Em setembro, a Agência de Segurança Cibernética e de Infraestrutura dos Estados Unidos e outras empresas de segurança começaram a emitir avisos sobre a falha, observando que os agentes de ameaças buscavam tirar proveito de sistemas sem patch.

Zerologon é uma vulnerabilidade de elevação de privilégio quando um invasor estabelece uma conexão de canal seguro Netlogon vulnerável com um controlador de domínio, usando o protocolo remoto Netlogon ( MS-NRPC ). Um invasor que explorar com êxito a vulnerabilidade pode executar um aplicativo especialmente criado em um dispositivo da rede.

A Microsoft lançou a primeira fase do patch em 11 de agosto para mitigar parcialmente a vulnerabilidade e agora está lançando a fase dois para atenuação da vulnerabilidade crítica do Zerologon. O CVE-2020-1472 é uma falha de elevação de privilégio que afeta o protocolo remoto do Windows Netlogon (MS-NRPC).

MS-NRPC é um componente de autenticação central do Active Directory. Esta vulnerabilidade existe quando um invasor cria uma conexão de canal seguro Netlogon vulnerável a um controlador de domínio usando MS-NRPC. Com essa conexão, um invasor não precisa se autenticar para elevar seus privilégios e se tornar um administrador. Um invasor não autenticado pode usar esse acesso para executar código arbitrário em controladores de domínio do Windows afetados. 

As preocupações com o Zerologon aumentaram rapidamente depois que a Microsoft lançou a primeira parte de sua mitigação em agosto. Em meados de setembro, o código de exploração disponível publicamente foi descoberto. Pouco depois, a Agência de Segurança Cibernética e de Infraestrutura (CISA) do DHS emitiu uma diretiva de emergência exigindo que as agências federais atenuassem a falha até a meia-noite de 21 de setembro.

Não demorou muito para que atacantes avançados adicionassem Zerologon a seus kits de ferramentas. Em outubro de 2020, o grupo APT iraniano Mercury foi visto usando a vulnerabilidade em uma série de ataques que a Microsoft detectou.

A partir da atualização de segurança de 9 de fevereiro de 2021, os controladores de domínio do Windows serão colocados no modo de aplicação. Isso requer que todos os dispositivos Windows e não Windows usem Chamada de Procedimento Remoto (RPC) segura com canal seguro Netlogon. Esta atualização irá bloquear conexões vulneráveis ​​de dispositivos não compatíveis, a menos que esses dispositivos recebam manualmente uma exceção para permitir conexões de canal seguro Netlogon vulneráveis. 

Para mais detalhes veja CVE-2020-1472 – Security Update Guide – Microsoft – Vulnerabilidade de Elevação de Privilégio no Netlogon .

Fonte: Microsoft & DarkReading

Veja também:

 
About mindsecblog 1159 Articles
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

2 Trackbacks / Pingbacks

  1. Tecnologias que podem ajudar a manter a sua privacidade
  2. O que é uma falha zero day? - Minuto da Segurança da Informação

Deixe sua opinião!