No dia 20 de agosto foi o aniversário do Zerologon, uma das cinco principais vulnerabilidades críticas de 2020. Essa vulnerabilidade de ambientes Microsoft, quando explorada, permite a um hacker fazer-se passar por qualquer computador, incluindo o controlador de domínio raiz. Um recente alerta mostra que essa vulnerabilidade continua representando um alvo para criminosos digitais.
No Brasil, o trabalho remoto continua sendo uma realidade. Vulnerabilidades de execução remota de código, como o Zerologon, assumiram um papel primordial e provaram ser as preferidas pelos invasores.
Que é Zerologon
Uma vulnerabilidade crítica que permite a elevação de privilégios no protocolo remoto de Netlogon do Windows (MS-NRPC), usado para manter os relacionamentos dos controladores de domínio (DCs) dentro dos domínios e através de domínios. Fundamentalmente, o MS-NRPC é utilizado para gerenciar as mudanças de conta dos DCs, como as senhas.
O papel dessa vulnerabilidade em ataques de Ransomware
O Netlogon é um componente central de autenticação do Active Directory; isso que significa que, basicamente, ele disponibiliza um canal seguro entre os computadores e os controladores de domínio. Isso faz do Active Directory (AD) um alvo muito preocupante quanto o Zerologon. Se um invasor conseguisse explorá-lo, poderia passar-se por qualquer máquina da rede, redefinir a senha do administrador do controlador de domínio ou lançar ataques de ransomware contra toda a rede.
Que fazer agora: identificar os sistemas afetados
Neste momento, é essencial assegurar-se de que todos os controladores de domínio estejam atualizados para garantir a segurança das infraestruturas de TI. Há uma lista de plugins da Tenable para identificar essa vulnerabilidade.
Ao completar-se um ano da revelação, o que realmente aconteceu? Houve advertências precoces que foram ignoradas? Quando foi inicialmente corrigido pela Microsoft como parte de sua atualização mensal regular de Patch Tuesday, em agosto de 2020, o Zerologon (CVE-2020-1472) recebeu atenção limitada. Entretanto, por volta do fim do ano, foi o foco de vários alertas governamentais, havendo sido adotado por invasores de diversas motivações e capacidades.
Claire Till, Engenheira Sênior de Pesquisa da Tenable, publicou sua análise completa do Zerologon no Blog da Tenable. O relatório Tenable Threat Landscape Retrospective fornece uma visão mais detalhada das vulnerabilidades de 2020 e como o Zerologon se encaixa no cenário de segurança mais amplo. “Em um ano de vulnerabilidades e incidentes que se tornaram manchetes, o Zerologon (CVE-2020-1472) se destaca por sua ampla adoção pelos agentes de ameaças e por seu acidentado calendário de divulgação”. Em meados de 2020, somente nas publicações de segurança programados e recorrentes de Oracle, Microsoft e Adobe, mais de 800 vulnerabilidades foram acrescentadas às listas de prioridade entre 14 e de julho e 10 de setembro de 2020. “A própria Microsoft corrigiu 120 CVEs em agosto, incluindo o Zerologon, classificando a vulnerabilidade como “Crítica” e pontuando-a como 8,8, afirmando que sua exploração era “menos provável”.
Entretanto, mais tarde naquele mesmo dia a Microsoft atualizou seu guia, reclassificando o Zerologon como 10,0 com exploração ”mais provável”. Esse poderia ser o motivo pelo qual essa brecha recebeu menção limitada na maioria das análises do Patch Tuesday. “Os defensores dependem de informações precisas e oportunas dos fornecedores para tomar decisões de priorização eficazes. Quanto menos informações eles receberem ou quanto mais imprecisas elas forem, mais difícil será para a indústria defender-se contra os invasores”, enfatiza Claire.
Leia nesta edição:
CAPA | TECNOLOGIA
Centros de Dados privados ainda geram bons negócios
TENDÊNCIA
Processadores ganham centralidade com IA
TIC APLICADA
Digitalização do canteiro de obras
Esta você só vai ler na versão digital
TECNOLOGIA
A tecnologia RFID está madura, mas há espaço para crescimento
Baixe o nosso aplicativo