Atualização do Windows Server fica séria: você tem o fim de semana para cumprir, diz Segurança Nacional

Views: 157
0 0
Read Time:3 Minute, 31 Second

As atualizações de segurança do Windows devem ser sempre levadas a sério, disso não há dúvida. Mas quando o Departamento de Segurança Interna, Segurança Cibernética e Infraestrutura dos EUA (CISA) emite uma diretiva de emergência para uma vulnerabilidade perfeita do Windows Server 10, crítica, o medidor de urgência sai da escala.

Esta é uma vulnerabilidade que poderia permitir que um invasor com acesso à rede ganhasse status de administrador enviando uma série de zeros usando o protocolo Windows Netlogon. Uma vulnerabilidade que, disse a CISA, deve ser assumida como sendo ativamente explorada na natureza.

Aqui está o que sabemos sobre a exploração zerologon e o que você precisa fazer sobre isso agora.

A CISA não emite diretivas de emergência a menos que haja uma séria causa de preocupação. A última vez que reportei sobre uma diretiva tão rara foi em julho, quando as agências governamentais receberam apenas 24 horas para atualizar, você adivinhou, o Windows Server.

Desta vez, eles ficam o fim de semana inteiro até meia-noite de segunda-feira, 21 de setembro, para colocar sua remenda em ordem.

O CVE-2020-1472 é tão sério quanto ele fica, daí a classificação máxima de 10 Common Vulnerability Score System (CVSS) e a gravidade crítica que a Microsoft atribuiu a ele. A vulnerabilidade em si abre as portas para um invasor já dentro da rede acessar o controlador de domínio do Windows Server Active Directory.

A boa notícia é que a Microsoft já emitiu um patch para corrigir a vulnerabilidade em si em agosto.

A má notícia é que o código que demonstra como explorar sistemas não reparados foi lançado em domínio público.

Esta exploração pós-compromisso foi nomeada Zerologon porque requer mensagens incluindo sequências de zeros estrategicamente colocadas para serem enviadas usando o protocolo Netlogon. Enquanto o invasor puder estabelecer uma conexão com o controlador de domínio em um sistema não reparado, nenhuma autenticação é necessária para elevar privilégios ao máximo e se tornar um “administrador instantâneo”.

A diretiva de emergência 20-04 exige que as agências federais cumpram a “ação imediata e emergencial” que a CISA determinou necessária para mitigar o “risco inaceitável” que a exploração do Zerologon representa. Essa ação é “aplicar imediatamente a atualização de segurança do Windows Server agosto de 2020 a todos os controladores de domínio”, e fazê-lo antes de 22 de setembro.

Embora essa diretiva se aplique aos departamentos e agências do Poder Executivo, o CISA também “recomenda fortemente” que não só os governos locais e estaduais devem corrigir essa vulnerabilidade crítica como uma questão de urgência, mas também para o setor privado.

“O CVE-2020-1472 provavelmente será armado muito rapidamente”, diz Ian Thornton-Trump, CISO dos especialistas em inteligência de ameaças Cyjax. “Se a história é qualquer juiz, meu dinheiro está na APT Fox Kitten, também conhecida como Parasita, que desde o verão de 2019 conseguiu dentro de uma janela de algumas semanas para iniciar campanhas usando explorações direcionadas”, adverte.

Essas campanhas de exploração têm como alvo cve-2019-11510, VPNs Pulse Secure, CVE-2018-13379, servidores Fortinet VPN, CVE-2019-1579, Palo Alto Networks Global Protect VPNs, CVE-2019-19781, servidores Citrix ADC e CVE-2020-5902, dispositivos de rede F5 Networks ‘Big IP’.

“O Windows Server Zerologon é mais uma exploração de movimento lateral do que uma vulnerabilidade frontal ou voltada para a internet”, diz Thornton-Trump, “então, embora os grupos APT vejam isso como uma ótima maneira de entrar nos servidores, onde todos os dados legais são, posso vê-los sendo devastadores nas mãos de cibercriminosos”.

Com muitos grupos de crimes cibernéticos e ransomware usando ferramentas como a Mimikatz para obter privilégios administrativos, os sistemas de segurança verão tal atividade e o bloquearão. “Essa vulnerabilidade parece não exigir uma ferramenta”, diz Thornton-Trump, “então pode tornar o trabalho de roubar e resgatar todas as suas coisas no servidor ainda mais rápido.” Como o Departamento de Segurança Interna, Thornton-Trump aconselha que “qualquer que seja seu modelo de ameaça, seja APT, cibercriminoso ou ambos, isso é uma coisa boa para corrigir o mais rápido possível”.

Entrei em contato com a Microsoft para obter uma declaração e atualizarei este artigo no devido tempo.

FONTE: FORBES

Previous post OSINT – Inteligência de Fontes Abertas
Next post Serviço de e-mail criptografado alemão Tutanota sofre ataques DDoS

Deixe um comentário