Microsoft advierte sobre ataques en curso que utilizan la falla de Windows Zerologon

Mark October 6, 2020

El Centro de inteligencia de amenazas de Microsoft advierte sobre un ataque que podría ser causado por la explotación de una falla de seguridad crítica CVE-2020-1472 con calificación 10/10.

Según la compañía, los ataques en curso se observaron varias veces durante las últimas dos semanas. El grupo de ciberespionaje MuddyWater, respaldado por Irán, lanzó tales atacantes mediante el uso de exploits ZeroLogon.

“MSTIC ha observado actividad del actor del estado-nación MERCURY usando el exploit CVE-2020-1472 (ZeroLogon) en campañas activas durante las últimas 2 semanas. Recomendamos encarecidamente aplicar parches”.

 También se observó que la compañía emitió una advertencia similar, el mes pasado, el 23 de septiembre, cuando instaron al administrador de TI a aplicar actualizaciones de seguridad como parte del parche de agosto de 2020 el martes para defenderse de los ataques que utilizan exploits públicos de ZeroLogon.

ZeroLogon es una falla de seguridad crítica que los atacantes podrían usar para elevar los privilegios a un administrador de dominio. Cuando se explotan con éxito, pueden tomar el control total sobre el dominio, cambiar la contraseña de cualquier usuario y ejecutar cualquier comando.

Una semana después, Cisco Talos, también advirtió, “un aumento en los intentos de explotación contra la vulnerabilidad de Microsoft CVE-2020-1472, un error de elevación de privilegios en Netlogon”.

Microsoft está implementando la solución para ZeroLogon en dos etapas, ya que puede causar problemas de autenticación en algunos de los dispositivos afectados.

El primero, lanzado el 11 de agosto, impide que los controladores de dominio de Active Directory de Windows utilicen comunicación RPC no segura y registra las solicitudes de autenticación de dispositivos que no son de Windows que no protegen los canales RPC para permitir que el administrador repare o reemplace los dispositivos afectados.

Microsoft lanzará otra actualización, comenzando con la actualización del martes de parches de febrero de 2021 para habilitar el modo de aplicación que requiere que todos los dispositivos de red usen RPC seguro, a menos que el administrador lo permita.

 La compañía aclaró los pasos sobre cómo proteger los dispositivos contra los ataques en curso utilizando exploits ZeroLogon el 29 de septiembre. En ese momento, Microsoft describió el plan de actualización:

  • Actualice los controladores de dominio a la actualización publicada el 11 de agosto de 2020 o posterior
  • Encuentre qué dispositivos con conexión vulnerable al monitorear los registros de eventos
  • Abordar los dispositivos no compatibles,
  • Habilite el modo de aplicación para abordar CVE-2020-1472

More Stories

Actualización de Windows 11: diga adiós a estas características

Mark June 25, 2021

Aplicación COVID para Android MassNotify de Massachusetts forzada por Google

Mark June 21, 2021

Novedades de Microsoft Windows 10 Build 19043.1052

Mark June 10, 2021

You may have missed

Cómo eliminar Davonevur.exe Trojan

Mark April 26, 2024

Cómo eliminar Mytiris.com de la PC

Mark April 26, 2024

Cómo eliminar ATCK Ransomware y recuperar archivos .ATCK

Mark April 26, 2024

Cómo eliminar Beast Ransomware y recuperar archivos .BEAST

Mark April 26, 2024

Cómo eliminar BlackSkull Ransomware y recuperar archivos .BlackSkull

Mark April 26, 2024