0
0
As atualizações de segurança do Windows devem ser sempre levadas a sério, disso não há dúvida. Mas quando o Departamento de Segurança Interna, Segurança Cibernética e Infraestrutura dos EUA (CISA) emite uma diretiva de emergência para uma vulnerabilidade perfeita do Windows Server 10, crítica, o medidor de urgência sai da escala.
Esta é uma vulnerabilidade que poderia permitir que um invasor com acesso à rede ganhasse status de administrador enviando uma série de zeros usando o protocolo Windows Netlogon. Uma vulnerabilidade que, disse a CISA, deve ser assumida como sendo ativamente explorada na natureza.
Aqui está o que sabemos sobre a exploração zerologon e o que você precisa fazer sobre isso agora.
A CISA não emite diretivas de emergência a menos que haja uma séria causa de preocupação. A última vez que reportei sobre uma diretiva tão rara foi em julho, quando as agências governamentais receberam apenas 24 horas para atualizar, você adivinhou, o Windows Server.
Desta vez, eles ficam o fim de semana inteiro até meia-noite de segunda-feira, 21 de setembro, para colocar sua remenda em ordem.
O CVE-2020-1472 é tão sério quanto ele fica, daí a classificação máxima de 10 Common Vulnerability Score System (CVSS) e a gravidade crítica que a Microsoft atribuiu a ele. A vulnerabilidade em si abre as portas para um invasor já dentro da rede acessar o controlador de domínio do Windows Server Active Directory.
A boa notícia é que a Microsoft já emitiu um patch para corrigir a vulnerabilidade em si em agosto.
A má notícia é que o código que demonstra como explorar sistemas não reparados foi lançado em domínio público.
Esta exploração pós-compromisso foi nomeada Zerologon porque requer mensagens incluindo sequências de zeros estrategicamente colocadas para serem enviadas usando o protocolo Netlogon. Enquanto o invasor puder estabelecer uma conexão com o controlador de domínio em um sistema não reparado, nenhuma autenticação é necessária para elevar privilégios ao máximo e se tornar um “administrador instantâneo”.
A diretiva de emergência 20-04 exige que as agências federais cumpram a “ação imediata e emergencial” que a CISA determinou necessária para mitigar o “risco inaceitável” que a exploração do Zerologon representa. Essa ação é “aplicar imediatamente a atualização de segurança do Windows Server agosto de 2020 a todos os controladores de domínio”, e fazê-lo antes de 22 de setembro.
Embora essa diretiva se aplique aos departamentos e agências do Poder Executivo, o CISA também “recomenda fortemente” que não só os governos locais e estaduais devem corrigir essa vulnerabilidade crítica como uma questão de urgência, mas também para o setor privado.
“O CVE-2020-1472 provavelmente será armado muito rapidamente”, diz Ian Thornton-Trump, CISO dos especialistas em inteligência de ameaças Cyjax. “Se a história é qualquer juiz, meu dinheiro está na APT Fox Kitten, também conhecida como Parasita, que desde o verão de 2019 conseguiu dentro de uma janela de algumas semanas para iniciar campanhas usando explorações direcionadas”, adverte.
Essas campanhas de exploração têm como alvo cve-2019-11510, VPNs Pulse Secure, CVE-2018-13379, servidores Fortinet VPN, CVE-2019-1579, Palo Alto Networks Global Protect VPNs, CVE-2019-19781, servidores Citrix ADC e CVE-2020-5902, dispositivos de rede F5 Networks ‘Big IP’.
“O Windows Server Zerologon é mais uma exploração de movimento lateral do que uma vulnerabilidade frontal ou voltada para a internet”, diz Thornton-Trump, “então, embora os grupos APT vejam isso como uma ótima maneira de entrar nos servidores, onde todos os dados legais são, posso vê-los sendo devastadores nas mãos de cibercriminosos”.
Com muitos grupos de crimes cibernéticos e ransomware usando ferramentas como a Mimikatz para obter privilégios administrativos, os sistemas de segurança verão tal atividade e o bloquearão. “Essa vulnerabilidade parece não exigir uma ferramenta”, diz Thornton-Trump, “então pode tornar o trabalho de roubar e resgatar todas as suas coisas no servidor ainda mais rápido.” Como o Departamento de Segurança Interna, Thornton-Trump aconselha que “qualquer que seja seu modelo de ameaça, seja APT, cibercriminoso ou ambos, isso é uma coisa boa para corrigir o mais rápido possível”.
Entrei em contato com a Microsoft para obter uma declaração e atualizarei este artigo no devido tempo.
FONTE: FORBES