Microsoft Defender for Identity agora detecta ataques Zerologon

Os alertas também fornecem informações que podem ajudar a identificar declarações direcionadas e se os ataques foram bem-sucedidos.

“Por fim, os clientes que usam o Microsoft 365 Defender podem aproveitar ao máximo o poder dos sinais e alertas do Microsoft Defender for Identity, combinados com eventos comportamentais e detecções do Microsoft Defender for Endpoint ” , acrescentou Naim.

“Esta proteção coordenada permite que você não apenas observe as tentativas de exploração do Netlogon nos protocolos de rede, mas também veja o processo do dispositivo e a atividade do arquivo associada à exploração.”

Implementação de patch em vários estágios

Zerologon  é uma falha crítica que pode ser explorada por invasores para elevar os privilégios e falsificar uma conta de controlador de domínio, o que permite que eles assumam o controle total de todo o domínio roubando credenciais de domínio, alterando a senha de qualquer usuário, bem como executando comandos arbitrários.

A Microsoft ainda está no processo de implementação da correção para a falha do Zerologon como parte de um processo de duas fases, visto que pode fazer com que alguns dos dispositivos afetados passem por vários problemas de autenticação.

Como o aviso inicial sobre o patch do Zerologon era confuso, a Microsoft esclareceu as etapas que os administradores devem seguir para proteger os dispositivos contra ataques.

O plano de patch delineado pela Microsoft exige que os administradores realizem as seguintes etapas:

1. ATUALIZE seus controladores de domínio com uma atualização lançada em 11 de agosto de 2020 ou posterior.
2. DESCUBRA quais dispositivos estão fazendo conexões vulneráveis, monitorando os logs de eventos.
3. ENDEREÇAR dispositivos não compatíveis que fazem conexões vulneráveis.
4. ATIVAR modo de aplicação para o endereço CVE-2020-1472  no seu ambiente.

Ataques em andamento visando servidores vulneráveis

A Microsoft alertou que tanto os agentes de ameaças apoiados pelo estado quanto os financeiramente motivados estão explorando ativamente sistemas não corrigidos contra a vulnerabilidade ZeroLogon no final de outubro e  em setembro .

Ambas as vezes, a empresa pediu aos administradores de TI que apliquem as atualizações de segurança lançadas como parte do Patch Tuesday de agosto de 2020  para proteger suas redes contra ataques que usam exploits ZeroLogon publicamente disponíveis.

“Nós encorajamos fortemente qualquer um que não tenha aplicado a atualização a realizar esta etapa agora. Os clientes precisam aplicar a atualização e seguir a orientação original, conforme descrito em  KB4557222  para garantir que estejam totalmente protegidos contra esta vulnerabilidade,” disse o VP de Engenharia do MSRC Aanchal Gupta.

Segundo o BleepingComputer, o grupo de hackers MuddyWater, apoiado pelo iraniano (também conhecido como SeedWorm e MERCURY), começou a explorar a falha nos ataques a partir da segunda metade de setembro.

O TA505 (também conhecido como Chimborazo), um grupo de ameaças com motivação financeira conhecido por fornecer um canal de entrega para o ransomware Clop nas fases posteriores de seus ataques, também foi detectado pela Microsoft  explorando a vulnerabilidade ZeroLogon no mês passado.

Os hackers chineses do APT10 também estão abusando ativamente do Zerologon,  como mostrado em ataques contra empresas e subsidiárias japonesas observados pela equipe de Threat Hunter da Symantec no início deste mês.

Logo após os relatórios iniciais de exploração do ZeroLogon, a Agência de Segurança Cibernética e Infraestrutura dos Estados Unidos (CISA) exigiu  do Poder Executivo Federal Civil que tratasse todo o processo de patch do ZeroLogon como “uma ação imediata e de emergência“.