Microsoft advierte sobre ataques en curso utilizando la falla de Windows Zerologon

Microsoft advierte sobre ataques en curso utilizando la falla de Windows Zerologon

Microsoft advirtió hoy que los actores de amenazas continúan explotando activamente los sistemas no parcheados contra la vulnerabilidad de escalada de privilegios ZeroLogon en Netlogon Remote Protocol (MS-NRPC).

"Microsoft ha recibido un número limitado de informes de clientes y otras personas sobre la explotación continua de una vulnerabilidad que afecta al protocolo Netlogon (CVE-2020-1472) que se abordó anteriormente en las actualizaciones de seguridad a partir del 11 de agosto de 2020. ", Dijo el vicepresidente de ingeniería de MSRC, Aanchal Gupta.

En los dispositivos Windows Server en los que no se solucionó la vulnerabilidad, los atacantes pueden falsificar una cuenta de controlador de dominio para robar las credenciales del dominio y tomar el control de todo el dominio después de una explotación exitosa.

"Recomendamos encarecidamente a cualquier persona que no haya aplicado la actualización que realice este paso ahora. Los clientes deben aplicar la actualización y seguir la guía original como se describe en KB4557222 para asegurarse de que estén completamente protegidos de esta vulnerabilidad ", Gupta adicional.

Índice()

    La vulnerabilidad de Windows Zerologon

    Zerologon es una falla crítica que permite a los atacantes elevar los privilegios a un administrador de dominio, lo que les permite tomar el control total de todo el dominio, cambiar la contraseña de cualquier usuario y ejecutar cualquier comando arbitrario.

    Microsoft está implementando la solución de dos pasos para Zerologon, ya que puede causar varios problemas de autenticación en algunos de los dispositivos afectados.

    Debido a que la documentación inicial del parche de Zerologon era confusa, el 29 de septiembre Microsoft aclaró los pasos que los administradores deben seguir para proteger los dispositivos de los ataques que utilizan las vulnerabilidades de Zerologon.

    El plan de actualización descrito por Microsoft incluye las siguientes acciones:

    1. ACTUALIZAR controladores de dominio con una actualización publicada el 11 de agosto de 2020 o posterior.
    2. ENCONTRAR qué dispositivos están haciendo conexiones vulnerables al monitorear los registros de eventos.
    3. HABLA A dispositivos no compatibles que establecen conexiones vulnerables.
    4. PARA PERMITIR métodos de aplicación a abordar CVE-2020-1472 en su entorno.

    Actividad de explotación previa de Zerologon

    Microsoft emitió una advertencia similar en septiembre, instando a los administradores de TI en ese momento a aplicar las actualizaciones de seguridad emitidas como parte del parche del martes de agosto de 2020 para proteger sus redes de los ataques que aprovechan las vulnerabilidades públicas de ZeroLogon.

    Una semana después, Cisco Talos también prevenido de "un aumento en los intentos de explotación contra la vulnerabilidad Microsoft CVE-2020-1472, un error de elevación de privilegios en Netlogon".

    El grupo de hackers apoyado por Irán MuddyWater (también conocido como SeedWorm y MERCURY) también comenzó a abusar de la falla a partir de la segunda quincena de septiembre.

    TA505 (también conocido como Chimborazo), un grupo de amenazas con motivaciones financieras conocido por distribuir el troyano bancario Dridex desde 2014 y proporcionar un vector de distribución para el ransomware Clop en las últimas etapas de sus ataques, también fue detectado por Microsoft utilizando el Vulnerabilidad ZeroLogon a principios de este mes.

    El 18 de septiembre, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ella preguntó el poder ejecutivo civil federal para tratar el proceso de parcheo de ZeroLogon como "acción inmediata y de emergencia".

    Deja una respuesta

    Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

    Subir