Um ano depois, Zerologon continua representando um alvo para criminosos digitais

No dia 20 de agosto foi o aniversário do Zerologon, uma das cinco principais vulnerabilidades críticas de 2020. Essa vulnerabilidade de ambientes Microsoft, quando explorada, permite a um hacker fazer-se passar por qualquer computador, incluindo o controlador de domínio raiz. Um recente alerta mostra que essa vulnerabilidade continua representando um alvo para criminosos digitais.

No Brasil, o trabalho remoto continua sendo uma realidade. Vulnerabilidades de execução remota de código, como o Zerologon, assumiram um papel primordial e provaram ser as preferidas pelos invasores.

Que é Zerologon
Uma vulnerabilidade crítica que permite a elevação de privilégios no protocolo remoto de Netlogon do Windows (MS-NRPC), usado para manter os relacionamentos dos controladores de domínio (DCs) dentro dos domínios e através de domínios. Fundamentalmente, o MS-NRPC é utilizado para gerenciar as mudanças de conta dos DCs, como as senhas.

O papel dessa vulnerabilidade em ataques de Ransomware
O Netlogon é um componente central de autenticação do Active Directory; isso que significa que, basicamente, ele disponibiliza um canal seguro entre os computadores e os controladores de domínio. Isso faz do Active Directory (AD) um alvo muito preocupante quanto o Zerologon. Se um invasor conseguisse explorá-lo, poderia passar-se por qualquer máquina da rede, redefinir a senha do administrador do controlador de domínio ou lançar ataques de ransomware contra toda a rede.

Que fazer agora: identificar os sistemas afetados
Neste momento, é essencial assegurar-se de que todos os controladores de domínio estejam atualizados para garantir a segurança das infraestruturas de TI. Há uma lista de plugins da Tenable para identificar essa vulnerabilidade.

Ao completar-se um ano da revelação, o que realmente aconteceu? Houve advertências precoces que foram ignoradas? Quando foi inicialmente corrigido pela Microsoft como parte de sua atualização mensal regular de Patch Tuesday, em agosto de 2020, o Zerologon (CVE-2020-1472) recebeu atenção limitada. Entretanto, por volta do fim do ano, foi o foco de vários alertas governamentais, havendo sido adotado por invasores de diversas motivações e capacidades.

Claire Till, Engenheira Sênior de Pesquisa da Tenable, publicou sua análise completa do Zerologon no Blog da Tenable. O relatório Tenable Threat Landscape Retrospective fornece uma visão mais detalhada das vulnerabilidades de 2020 e como o Zerologon se encaixa no cenário de segurança mais amplo. “Em um ano de vulnerabilidades e incidentes que se tornaram manchetes, o Zerologon (CVE-2020-1472) se destaca por sua ampla adoção pelos agentes de ameaças e por seu acidentado calendário de divulgação”. Em meados de 2020, somente nas publicações de segurança programados e recorrentes de Oracle, Microsoft e Adobe, mais de 800 vulnerabilidades foram acrescentadas às listas de prioridade entre 14 e de julho e 10 de setembro de 2020. “A própria Microsoft corrigiu 120 CVEs em agosto, incluindo o Zerologon, classificando a vulnerabilidade como “Crítica” e pontuando-a como 8,8, afirmando que sua exploração era “menos provável”.

Entretanto, mais tarde naquele mesmo dia a Microsoft atualizou seu guia, reclassificando o Zerologon como 10,0 com exploração ”mais provável”. Esse poderia ser o motivo pelo qual essa brecha recebeu menção limitada na maioria das análises do Patch Tuesday. “Os defensores dependem de informações precisas e oportunas dos fornecedores para tomar decisões de priorização eficazes. Quanto menos informações eles receberem ou quanto mais imprecisas elas forem, mais difícil será para a indústria defender-se contra os invasores”, enfatiza Claire.