Hackers estão usando explorações do Zerologon em ataques na natureza

Views: 38
0 0
Read Time:1 Minute, 37 Second

A Microsoft está alertando para atores de ameaças que estão usando ativamente as explorações do Windows Server Zerologon em ataques na natureza.

A Microsoft publicou uma série de Tweets para alertar sobre os atacantes que estão explorando ativamente o Windows Server Zerologon em ataques na natureza. A gigante de TI está pedindo aos administradores do Windows que instalem as atualizações de segurança liberadas o mais rápido possível.

A Microsoft também compartilhou explorações de amostras de IoCs [1, 23], que são executáveis .NET com o nome de arquivo ‘SharpZeroLogon.exe.

A falha do CVE-2020-1472 é uma elevação do privilégio que reside no Netlogon. O serviço Netlogon é um mecanismo de autenticação usado na Arquitetura de Autenticação do Cliente Windows que verifica solicitações de logon e registra, autentica e localiza controladores de domínio.

Os administradores dos servidores windows corporativos têm que instalar o Patch Tuesday de agosto de 2020 para mitigar o “risco inaceitável” representado pela falha nas redes federais.

Um invasor também pode explorar a falha para desativar recursos de segurança no processo de autenticação do Netlogon e alterar a senha de um computador no Active Directory do controlador de domínio.

A única limitação de como realizar um ataque Zerologon é que o invasor deve ter acesso à rede de destino.

A falha foi descoberta por pesquisadores da empresa de segurança Secura, que também publicaram detalhes técnicos do problema, juntamente com explorações de prova de conceito.

Pesquisadores do BleepingComputer analisaram uma das amostras e descobriram que a exploração altera o hash NTLM do controlador de domínio para “31d6cfe0d16ae931b73c59d7e0c089c0”, que é uma senha vazia.

Os pesquisadores da Secura também lançaram um script Python que usa a biblioteca Impacket para testar a vulnerabilidade da exploração zerologon, que poderia ser usado por administradores para determinar se seu controlador de domínio ainda está vulnerável.

Não perca tempo, remende seu sistema agora!

FONTE: SECURITY AFFAIRS

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *