Microsoft lançou uma atenuação da fase 2 para falha no Zerologon. A
vulnerabilidade de execução remota de código Netlogon, foi transformada em arma por
grupos APT.
Com a descoberta dessa vulnerabilidade em agosto de 2020, a Microsoft veio
alertando seus usuários para que fizessem o patch parcial para corrigir essa
vulnerabilidade do Zerologon. Os hackers buscavam tirar proveito dos sistemas que
estivessem sem o patch de correção. Por conta disso, um mês após o lançamento do
patch, a Agência de Segurança Cibernética e de Infraestrutura dos Estados Unidos e
empresas de segurança, passaram a enviar avisos sobre a falha que estava presente.
Zerologon é uma vulnerabilidade que ocorre quando o hacker estabelece uma
conexão de canal seguro Netlogon vulnerável com um controlador de domínio, fazendo
uso do protocolo remoto Netlogon (MS-NRPC). O invasor que conseguir infiltrar a
vulnerabilidade, pode executar um aplicativo especialmente criado em um dispositivo
da rede.
A Microsoft lançou a primeira fase do patch em 11 de agosto e agora está
lançando a fase dois. O CVE-2020-1472 é uma falha de elevação de privilégio, que, por
consequência, afeta o protocolo remoto do Netlogon.
Um mês após o patch de correção ser lançado, o código de exploração foi
descoberto. Após isso, a consequência foi que a Agência de Segurança Cibernética e de
Infraestrutura (CISA) emitiu uma diretiva de emergência, obrigando as agências
federais a corrigir a falha o mais rápido possível. Um mês após a exigência que foi feita
pelas agências, o grupo APT Mercury, do Irã, foi visto pela Microsoft usando o
Zerologon numa série de ataques à empresa de tecnologia.
A partir da atualização de segurança de 9 de fevereiro de 2021, os controladores
de domínio do Windows serão colocados no modo de aplicação. Isso requer que todos
os dispositivos Windows e não Windows usem Chamada de Procedimento Remoto
(RPC) segura com canal seguro Netlogon. Esta atualização irá bloquear conexões
vulneráveis de dispositivos não compatíveis, a menos que esses dispositivos recebam
manualmente uma exceção para permitir conexões de canal seguro Netlogon
vulneráveis.
Fonte: Microsoft e DarkReading
