This post is also available in: Português
Na Patch Tuesday de agosto, a Micorsoft fechou várias vulnerabilidades, entre elas a CVE-2020-1472 – Zerologon, uma vulnerabilidade do protocolo Netlogon que foi atribuída a um nível de gravidade crítico.
Recentemente, Tom Tervoort, pesquisador da Secura, publicou um relatório detalhado explicando porque a vulnerabilidade, conhecida como Zerologon, é tão perigosa e como ela pode ser usada para sequestrar um controlador de domínio.
Zerologon
A CVE-2020-1472, conhecida como Zerologon, é o resultado de uma falha no esquema de autenticação criptográfica do protocolo remoto Netlogon. Esse protocolo autentica usuários e máquinas em redes baseadas em domínio e também é usado para atualizar senhas de computador remotamente.
Explorando essa vulnerabilidade, um invasor pode se passar por um computador cliente e substituir a senha de um controlador de domínio – servidor que controla uma rede inteira e executa serviços do Active Directory – o que permite que o invasor obtenha direitos de administrador de domínio.
O Zerologon apresenta um risco para empresas que tem redes baseadas em controladores de domínio executados no Windows. Os cibercriminosos podem sequestrar um controlador de domínio com base em qualquer versão do Windows Server 2019 ou Windows Server 2016, bem como qualquer edição do Windows Server versão 1909, 1903, 1809, 2012 R2, 2012 ou Windows Server 2008 R2 Service Pack 1.
Para realizar o ataque, primeiramente os cibercriminosos precisam penetrar na rede corporativa, mas isso não é um problema para eles.
O Zerologon ainda não foi usado em um ataque no mundo real, pelo menos não houve nenhum relato. Porém, o relatório do Tervoort atraiu a atenção de cibercriminosos e, embora os pesquisadores ainda não tenham publicado uma prova de conceito, eles não têm dúvidas de que os invasores podem criar uma baseada nos patches.
No início de agosto a Microsoft lançou patches para solucionar a vulnerabilidade de todos os sistemas afetados. Para se proteger contra esse tipo de ataque, é necessário fazer a atualização.
A Microsoft recomenda o monitoramento de todas as tentativas de login feitas por meio da versão vulnerável do protocolo e identificar dispositivos que não suportam a nova versão.
Segundo a empresa, o controlador de domínio deve ser definido para um modo em que todos os dispositivos usem a versão segura do Netlogon.
A partir de fevereiro do próximo ano, os controladores de domínio serão obrigados a usar Netlogon seguro e atualizado.
Via: CYWARE.
This post is also available in: Português
