Detecção de Ataque Zerologon (CVE-2020-1472)

[post-views]
Setembro 14, 2020 · 5 min de leitura
Detecção de Ataque Zerologon (CVE-2020-1472)

Após um julho muito quente, especialmente frutífero para vulnerabilidades críticas (1, 2, 3), a Patch Tuesday da Microsoft em agosto foi relativamente tranquila. Sim, mais uma vez mais de uma centena de vulnerabilidades foram corrigidas, sim, 17 falhas foram classificadas como Críticas, e a Microsoft não destacou bugs do nível “Estamos Todos Perdidos”. Embora na época os pesquisadores de segurança tenham chamado a atenção para o ataque Zerologon, a falha crítica de elevação de privilégios (CVE-2020-1472) que permite que invasores abusem do Protocolo de Rede Remota Netlogon e obtenham acesso de administrador a um controlador de domínio.

Vulnerabilidade Zerologon

Basicamente, o CVE-2020-1472 descoberto (pontuação CVSS: 10.0) abriu caminho para fraudadores assumirem o controle sobre a conta de Administrador de Domínio capturada. A vulnerabilidade foi atribuída com a maior pontuação de severidade pelo Sistema Comum de Pontuação de Vulnerabilidades, já que há exploits POC acionáveis e são esperadas atividades maliciosas conectadas à exploração do CVE-2020-1472 com alta probabilidade.

A vulnerabilidade CVE-2020-1472 está diretamente ligada ao algoritmo criptográfico usado no Protocolo de Rede Remota Netlogon. A vulnerabilidade recebeu seu nome devido à especificidade da exploração quando a variável inicial, ou vetor de inicialização, foi configurado para zeros em vez de números aleatórios.

Detalhes Técnicos sobre o Ataque Zerologon

Hoje, a empresa de segurança Secura publicou os detalhes técnicos por trás da falha crítica Zerologon, e a evidência da facilidade de exploração da vulnerabilidade CVE-2020-1472 já começou a surgir. Zerologon permite que um hacker assuma o controle sobre o controlador de domínio vitimado. Para estabelecer uma sessão TCP com um controlador de domínio, os hackers geralmente estão dentro da rede tendo acesso físico ao equipamento, ou possuem um ponto de apoio fora da rede. Primeiro, os fraudadores devem falsificar as credenciais de um computador nas redes da empresa, o que é possível em menos de 256 tentativas devido ao vetor de inicialização deficiente do Protocolo de Rede Remota Netlogon. Depois, os hackers desativariam o mecanismo de transporte de criptografia dentro do MS-NRPC para abrir caminho para suas ações futuras – mudar a senha da conta que foi inicialmente usada para entrar no sistema, de modo que o computador não consiga se logar.

Atualização de segurança e mitigação da CVE-2020-1472

A Microsoft planeja resolver o problema de segurança em duas fases, modificando radicalmente a conexão dos dispositivos dentro de redes corporativas.

A primeira, a Fase de Implementação Inicial, começou em 11 de agosto de 2020. Durará até o primeiro trimestre de 2020 e durante este período, as atualizações serão lançadas. Para alertar os administradores sobre conexões Netlogon vulneráveis aliadas ao CVE-2020-1472, a Microsoft adicionou novos IDs de Evento, junto com atualizações para versões afetadas do Windows Server. Entre eles, o EventID 5829 foi adicionado para informar sobre conexões Netlogon vulneráveis.

Na fase dois – a Fase de Aplicação – que está planejada para começar em 9 de fevereiro de 2021, com as atualizações instaladas, os Controladores de Domínio negarão conexões vulneráveis de dispositivos usando conexões seguras Netlogon vulneráveis, exceto aquelas permitidas por política de grupo.

Detalhes técnicos e detecção do ataque Zerologon

Agora, os cibercriminosos que comprometeram um sistema na rede de uma organização podem ganhar acesso quase instantaneamente a um controlador de domínio. Botnets como Emotet or TrickBot, que fornecem acesso a sistemas infectados para outros grupos, se tornarão ainda mais perigosos, e o tempo que as gangues de ransomware gastam desde o momento em que se infiltram na rede até começarem a criptografar arquivos será significativamente reduzido.

Instale a atualização de segurança o mais rápido possível, se ainda não o fez. Também recomendamos baixar e implantar regras comunitárias por Adam Swan, nosso engenheiro sênior de caça ameaças, para detectar ataques Zerologon: https://tdm.socprime.com/tdm/info/FgNYLnTxIVrs/7WbXfnQBSh4W_EKGaxL5/

 

A regra tem traduções para as seguintes plataformas:

SIEM: Azure Sentinel, ELK Stack, RSA NetWitness, Splunk, LogPoint, Humio

NTA: Corelight

 

MITRE ATT&CK: 

Táticas: Movimento Lateral

Técnicas: Exploração de Serviços Remotos (T1210)

 

Novas regras para detecção do ataque Zerologon (vulnerabilidade CVE-2020-1472) estão sendo publicadas no SOC Prime Threat Detection Marketplace.
Conexão Segura Vulnerável do Netlogon Permitida por NVISO https://tdm.socprime.com/tdm/info/S4U7tNVmkwFr/Jp2DknQBPeJ4_8xcsU3h/?p=1
Usuário Anônimo Alterou a Senha da Máquina por Adam Swan, Equipe SOC Prime https://tdm.socprime.com/tdm/info/EPl2OKBmxbJ6/fHN5k3QBSh4W_EKG8VJB/?p=1#


Pronto para experimentar o SOC Prime TDM? Inscreva-se gratuitamente. Ou junte-se ao Programa de Recompensas de Ameaças para criar seu próprio conteúdo e compartilhá-lo com a comunidade TDM.

Tabela de Conteúdos

Este artigo foi útil?

Curta e compartilhe com seus colegas.
Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e obter valor imediato, agende uma reunião agora com os especialistas da SOC Prime.
Junte-se Gratuitamente Agende uma Reunião

Publicações Relacionadas

Acessar Funcionalidade do Uncoder AI via API 2 min de leitura Plataforma SOC Prime Acessar Funcionalidade do Uncoder AI via API by Steven Edwards Pesquisar Marketplace de Detecção de Ameaças com Uncoder AI 2 min de leitura Plataforma SOC Prime Pesquisar Marketplace de Detecção de Ameaças com Uncoder AI by Steven Edwards Traduzir do Sigma para 48 Idiomas 2 min de leitura Plataforma SOC Prime Traduzir do Sigma para 48 Idiomas by Steven Edwards
Todas as notícias