0
0
A Microsoft está alertando que os cibercriminosos começaram a incorporar código de exploração para a vulnerabilidade ZeroLogon em seus ataques. O alerta vem depoisque a empresa notou ataques contínuos do grupo de espionagem cibernética MuddyWater (SeedWorm) na segunda metade de setembro.
Desta vez, o ator de ameaças é TA505, um adversário que é indiscriminado sobre as vítimas que ataca, com uma história começando com a distribuição do trojan bancário Dridex em 2014.
Ao longo dos anos, o ator esteve em ataques entregando uma grande variedade de malware, de backdoors a ransomware.
Recentemente, invasões desse grupo são seguidas pela implantação do ransomware Clop, como no ataque à Universidade de Maastricht no ano passado que resultou no pagamento de um resgate de 30 bitcoins (cerca de US $ 220.000).
Atualizações falsas e ferramentas legítimas
A Microsoft diz que o TA505, que ele rastreia como Chimborazo, implantou uma campanha com atualizações de software falsas que se conectam à infraestrutura de comando e controle do ator de ameaças (C2).
O objetivo das atualizações maliciosas é dar aos hackers privilégios aumentados (bypass do Controle de Conta de Usuário) no sistema de destino e executar scripts maliciosos.
Para a segunda parte, o TA505 usa o Windows Script Host (WScript.Exe), que permite a execução de scripts em várias linguagens de programação, incluindo VBScript, Python, Ruby, PHP, JavaScript e Perl.
A Microsoft diz que os atacantes compilam uma versão da ferramenta de pós-exploração Mimikatz usando o Microsoft Build Engine (MSBuild.Exe)n para construir aplicativos.
A versão de Mimikatz obtida desta forma inclui código de exploração para a vulnerabilidade ZeroLogon (CVE-2020-1472). No último mês, inúmeros pesquisadores lançaram provas de conceito para essa falha.
O que a Microsoft descreveu em um segmento curto é um ataque clássico de aquisição de domínio, onde o ZeroLogon é um ajuste perfeito. Ele oferece acesso direto ao controlador de domínio, de modo que o invasor não precisa mais gastar tempo recebendo as credenciais de administrador.
Com o TA505 envolvido em negócios de ransomware de dinheiro grande, as organizações devem priorizar a aplicação de patches de segurança para essa vulnerabilidade como ataques semelhantes ao que a Microsoft descreveu provavelmente ocorrerão com maior frequência.
Detalhes do ZeroLogon disponíveis
Descoberto por Tom Tervoort da Secura, o ZeroLogon permite que invasores em uma rede de domínio aumentem as permissões ao nível do administrador sem precisar autenticar.
Tervoort descobriu que ele poderia forçar a conexão a um controlador de domínio através do Protocolo Remoto Netlogon em um estado não criptografado (comunicação RPC não segura).
Em seguida, aproveitando uma falha no algoritmo cripto Netlogon, é possível falsificar um login de administrador de domínio. Uma red write-up técnica está disponível na Secura.
A Microsoft abordou essa vulnerabilidade parcialmente por enquanto, impedindo a comunicação do controlador do Windows Active Domain sobre o RPC não seguro. Esta atualização está disponível desde 11 de agosto.
Em 9 de fevereiro, porém, uma nova atualização imporá a mesma comunicação segura a todos os dispositivos da rede.
Avisos liberados
Os administradores de rede receberam avisos repetidos sobre a gravidade da vulnerabilidade ZeroLogon (pontuação crítica máxima 10/10) e pediram para aplicar o patch atual.
Com o código de exploração que (privilégio de administração de domínio obtido em segundos) lançado desde meados de setembro, os atores de ameaças se moveram rapidamente para incorporá-lo em seus ataques.
A Agência de Segurança cibernética e segurança de infraestrutura dos EUA (CISA) exigiu em 18 de setembro que o Poder Executivo Federal Civil tratasse a correção da falha como uma emergência.
A Microsoft soou pela primeira vez o alarme em 23 de setembro, quando viu o ZeroLogon ativamente explorado em ataques. Em seguida veio o alerta sobre MuddyWater alavancando a exploração.
Agora são os cibercriminosos que o empunham, um sinal claro de que a ZeroLogon está a caminho de ser adotada por uma ampla gama de grupos de ameaças que visam organizações nos setores público e privado.
FONTE: BLEEPING COMPUTER