Microsoft advierte sobre ataques en curso que utilizan la falla de Windows Zerologon
El Centro de inteligencia de amenazas de Microsoft advierte sobre un ataque que podría ser causado por la explotación de una falla de seguridad crítica CVE-2020-1472 con calificación 10/10.
Según la compañía, los ataques en curso se observaron varias veces durante las últimas dos semanas. El grupo de ciberespionaje MuddyWater, respaldado por Irán, lanzó tales atacantes mediante el uso de exploits ZeroLogon.
“MSTIC ha observado actividad del actor del estado-nación MERCURY usando el exploit CVE-2020-1472 (ZeroLogon) en campañas activas durante las últimas 2 semanas. Recomendamos encarecidamente aplicar parches”.
También se observó que la compañía emitió una advertencia similar, el mes pasado, el 23 de septiembre, cuando instaron al administrador de TI a aplicar actualizaciones de seguridad como parte del parche de agosto de 2020 el martes para defenderse de los ataques que utilizan exploits públicos de ZeroLogon.
ZeroLogon es una falla de seguridad crítica que los atacantes podrían usar para elevar los privilegios a un administrador de dominio. Cuando se explotan con éxito, pueden tomar el control total sobre el dominio, cambiar la contraseña de cualquier usuario y ejecutar cualquier comando.
Una semana después, Cisco Talos, también advirtió, “un aumento en los intentos de explotación contra la vulnerabilidad de Microsoft CVE-2020-1472, un error de elevación de privilegios en Netlogon”.
Microsoft está implementando la solución para ZeroLogon en dos etapas, ya que puede causar problemas de autenticación en algunos de los dispositivos afectados.
El primero, lanzado el 11 de agosto, impide que los controladores de dominio de Active Directory de Windows utilicen comunicación RPC no segura y registra las solicitudes de autenticación de dispositivos que no son de Windows que no protegen los canales RPC para permitir que el administrador repare o reemplace los dispositivos afectados.
Microsoft lanzará otra actualización, comenzando con la actualización del martes de parches de febrero de 2021 para habilitar el modo de aplicación que requiere que todos los dispositivos de red usen RPC seguro, a menos que el administrador lo permita.
La compañía aclaró los pasos sobre cómo proteger los dispositivos contra los ataques en curso utilizando exploits ZeroLogon el 29 de septiembre. En ese momento, Microsoft describió el plan de actualización:
- Actualice los controladores de dominio a la actualización publicada el 11 de agosto de 2020 o posterior
- Encuentre qué dispositivos con conexión vulnerable al monitorear los registros de eventos
- Abordar los dispositivos no compatibles,
- Habilite el modo de aplicación para abordar CVE-2020-1472