Microsoft alerta sobre ataques em andamento usando falha do Windows Zerologon

Mark October 6, 2020

O Centro de Inteligência de Ameaças da Microsoft alerta sobre um ataque que pode ser causado pela exploração de falha de segurança CVE-2020-1472 crítica 10/10 classificada.

De acordo com a empresa, os ataques em andamento foram observados várias vezes nas últimas duas semanas. O grupo de espionagem cibernética MuddyWater, apoiado pelo Irã, lançou esses invasores usando exploits ZeroLogon.

“O MSTIC observou a atividade do ator de estado-nação MERCURY usando o exploit CVE-2020-1472 (ZeroLogon) em campanhas ativas nas últimas 2 semanas. Recomendamos fortemente o patching.”

 Um alerta semelhante também foi observado pela empresa, no mês passado, em 23 de setembro, quando eles instaram o administrador de TI a aplicar atualizações de segurança como parte do patch de agosto de 2020 de terça-feira para se defender contra ataques usando exploits públicos ZeroLogon.

ZeroLogon é uma falha crítica de segurança que os invasores podem usar para elevar os privilégios a um administrador de domínio. Quando explorados com sucesso, eles podem assumir o controle total sobre o domínio, alterar a senha de qualquer usuário e executar qualquer comando.

Uma semana depois, Cisco Talos, também alertou, “um pico nas tentativas de exploração contra a vulnerabilidade da Microsoft CVE-2020-1472, um bug de elevação de privilégio no Netlogon.”

A Microsoft está lançando a correção para o ZeroLogon em dois estágios, uma vez que pode causar problemas de autenticação em alguns dos dispositivos afetados.

O primeiro, lançado em 11 de agosto, impede que os controladores de domínio do Windows Active Directory usem comunicação RPC não segura e registra solicitações de autenticação de dispositivos não Windows que não protegem canais RPC para permitir que o administrador conserte ou substitua os dispositivos afetados.

A Microsoft lançará outra atualização, começando com a atualização Patch Tuesday de fevereiro de 2021 para habilitar o modo de imposição que requer que todos os dispositivos de rede usem RPC seguro, a menos que o administrador permita.

 A empresa esclareceu as etapas sobre como proteger os dispositivos contra os ataques em andamento usando exploits ZeroLogon em 29 de setembro. Naquela época, a Microsoft delineou o plano de atualização:

  • Atualize os controladores de domínio para a atualização lançada em 11 de agosto de 2020 ou posterior
  • Descubra quais dispositivos com conexão vulnerável monitorando logs de eventos
  • Endereçar dispositivos não compatíveis,
  • Ative o modo de aplicação para abordar CVE-2020-1472

More Stories

Atualização do Windows 11: diga adeus a esses recursos

Mark June 25, 2021

Aplicativo COVID para Android Massachusetts MassNotify forçado pelo Google

Mark June 21, 2021

O que há de novo no Microsoft Windows 10 Build 19043.1052

Mark June 10, 2021

You may have missed

Como retirar Lockdown Ransomware e recuperar arquivos .lockdown

Mark October 18, 2024

Como retirar Helldown Ransomware e recuperar arquivos bloqueado

Mark October 18, 2024

Como retirar DarkDev Ransomware e recuperar arquivos .darkdev

Mark October 18, 2024

Como retirar Destroy Ransomware e recuperar arquivos .destry30

Mark October 18, 2024

Como retirar Annoy Ransomware e recuperar arquivos .annoy

Mark October 18, 2024