Microsoft advierte sobre ataques utilizando la falla de Windows Zerologon

Iniciado por AXCESS, Octubre 29, 2020, 10:39:27 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Microsoft advirtió hoy que los actores de amenazas continúan explotando activamente los sistemas no parcheados contra la vulnerabilidad de escalada de privilegios ZeroLogon en Netlogon Remote Protocol (MS-NRPC).

"Microsoft ha recibido una pequeña cantidad de informes de clientes y otras personas sobre la actividad continua, que explota una vulnerabilidad, que afecta al protocolo Netlogon (CVE-2020-1472) que se abordó anteriormente en las actualizaciones de seguridad, a partir del 11 de agosto de 2020", dijo el vicepresidente de ingeniería de MSRC Aanchal Dijo Gupta.

En los dispositivos de Windows Server donde la vulnerabilidad no fue parcheada, los atacantes pueden falsificar una cuenta de controlador de dominio para robar credenciales de dominio y apoderarse de todo el dominio luego de una explotación exitosa.

"Recomendamos encarecidamente a cualquier persona que no haya aplicado la actualización que dé este paso ahora. Los clientes deben aplicar la actualización y seguir la guía original como se describe en KB4557222 para asegurarse de que están completamente protegidos de esta vulnerabilidad", agregó Gupta.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

La vulnerabilidad de Windows Zerologon


Zerologon es una falla crítica que permite a los atacantes elevar los privilegios a un administrador de dominio, lo que les permite tomar el control total de todo el dominio, cambiar la contraseña de cualquier usuario y ejecutar cualquier comando arbitrario.

Microsoft está implementando la solución para Zerologon en dos etapas, ya que puede hacer que algunos de los dispositivos afectados pasen por varios problemas de autenticación.

Debido a que la documentación inicial con respecto al parche de Zerologon era confusa, Microsoft aclaró los pasos que los administradores deben seguir para proteger los dispositivos contra ataques que utilizan vulnerabilidades de Zerologon el 29 de septiembre.

El plan de actualización descrito por Microsoft incluye las siguientes acciones:

     ACTUALICE sus controladores de dominio con una actualización publicada el 11 de agosto de 2020 o posterior.
     ENCUENTRE qué dispositivos están haciendo conexiones vulnerables mediante la supervisión de los registros de eventos.
     DIRIGIR dispositivos no compatibles que hacen conexiones vulnerables.
     HABILITE el modo de ejecución para abordar CVE-2020-1472 en su entorno.

Actividad previa de explotación de Zerologon

Microsoft emitió una advertencia similar en septiembre, instando a los administradores de TI en ese momento a aplicar las actualizaciones de seguridad emitidas como parte del martes de parches de agosto de 2020 para proteger sus redes contra ataques que aprovechan las vulnerabilidades públicas de ZeroLogon.

Una semana después, Cisco Talos también advirtió sobre "un aumento en los intentos de explotación contra la vulnerabilidad de Microsoft CVE-2020-1472, un error de elevación de privilegios en Netlogon".

El grupo de piratería MuddyWater respaldado por Irán (también conocido como SeedWorm y MERCURY) también comenzó a abusar de la falla a partir de la segunda quincena de septiembre.

TA505 (también conocido como Chimborazo), un grupo de amenazas con motivaciones financieras conocido por distribuir el troyano bancario Dridex desde 2014 y por proporcionar un vector de implementación para el ransomware Clop, en etapas posteriores de sus ataques, también fue detectado por Microsoft explotando la vulnerabilidad ZeroLogon a principios de este mes.

El 18 de septiembre, la Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA) exigió al Poder Ejecutivo Federal Civil que tratara el proceso de parcheo de ZeroLogon como "una acción inmediata y de emergencia".

Fuente:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta