Microsoft adverte que ataque de exploração ‘perfeito 10’ do servidor do Windows está em andamento

Views: 334
0 0
Read Time:2 Minute, 37 Second

Há poucos dias, o Departamento de Segurança Interna, Segurança Cibernética e Segurança de Infraestrutura dos EUA (CISA) emitiu uma rara diretiva de emergência instruindo todas as agências federais a aplicar uma atualização de segurança do Windows Server antes da meia-noite de segunda-feira, 21 de setembro. Essa diretiva falou da necessidade de tomar medidas imediatas e emergenciais, a fim de mitigar o risco de uma exploração crítica do Windows Server chamada Zerologon.

A exploração, que permite que um invasor se torne um administrador instantâneo, é tão séria que classificou um 10 perfeito no Common Vulnerability Score System (CVSS) e a própria Microsoft determinou que ele era de gravidade crítica. A CISA também instou os governos locais e estaduais, juntamente com organizações do setor privado, a corrigir seus controladores de domínio do Windows Server como uma questão de urgência. Agora, a equipe de Inteligência de Segurança da Microsoft, uma rede global de especialistas em segurança, confirmou que os ataques da Zerologon estão em andamento na natureza.

A Microsoft Security Intelligence tuitou que está “rastreando ativamente” a atividade de ataque da Zerologon por atores de ameaças que exploram o CVE-2020-1472. Isso segue vários exemplos de prova de código de exploração de conceitos sendo lançados em domínio público, o que levou a diretiva CISA. “Observamos ataques em que explorações públicas foram incorporadas em cartilhas de atacantes”, alertou a equipe da Microsoft. A Microsoft se junta à CISA para recomendar fortemente que as atualizações de segurança sejam aplicadas imediatamente. Os administradores do Windows Server podem se referir a um documento de suporte da Microsoft sobre como gerenciar as alterações nas conexões de canais seguras do Netlogon.

Embora existam alguns fatores atenuantes quando se trata de um ataque zerologon bem sucedido, não menos importante que esta é uma exploração pós-compromisso que exige que um ator de ameaça já tenha uma base na rede, a seriedade de não corrigir não pode ser exagerada. Esse invasor dentro da rede pode enviar mensagens de protocolo Netlogon especialmente elaboradas com strings de zeros, daí o nome e elevar privilégios para se tornar um administrador sem autenticação.

Ian Thornton-Trump, CISO dos especialistas em inteligência de ameaças Cyjax, chamou este quando me disse em 19 de setembro que “CVE-2020-1472 provavelmente será armado muito rapidamente”. Ele também alertou que a exploração pode ser “devastadora nas mãos de cibercriminosos”.

“Erros criptográficos são difíceis de notar, se nunca, mas esses erros destacam o impacto que os atores podem ter quando têm tempo suficiente para explorar”, diz Jake Moore, especialista em segurança cibernética da ESET. Ele ecoa o conselho de todos os outros em que corrigir cedo é vital, especialmente agora que sabemos que os atacantes têm código de exploração de trabalho. “O patch de agosto de 2020 é suficiente para impedir o ataque”, conclui Moore, “mas age como mais um lembrete de que uma boa remenda irá salvá-lo do tsunami de ataques constantes”.

Um porta-voz da Microsoft confirmou, sobre a exploração do Zerologon, que “uma atualização de segurança foi lançada em agosto de 2020. Os clientes que aplicarem a atualização ou tiverem atualizações automáticas ativadas, estarão protegidos.”

FONTE: FORBES

POSTS RELACIONADOS