Los hackers están explotando activamente la vulnerabilidad Zerologon en ataques del mundo real. Esto indicaba el equipo de inteligencia de seguridad de Microsoft esta mañana.
«Microsoft está rastreando activamente la actividad de los causantes de amenazas mediante exploits para la vulnerabilidad CVE-2020-1472 Netlogon EoP, apodada Zerologon. Hemos observado ataques en los que las hazañas públicas se han incorporado a los libros de jugadas de los atacantes», escribió la compañía en una serie de tweets.
La vulnerabilidad Zerologon está siendo explotada
Múltiples versiones de código de explotación como prueba de concepto se han publicado para descargar gratis. Esto sucedió desde que los detalles sobre Zerologon fueron revelados el 14 de septiembre. La empresa holandesa Secura BV fue la que localizó la vulnerabilidad.
Microsoft is actively tracking threat actor activity using exploits for the CVE-2020-1472 Netlogon EoP vulnerability, dubbed Zerologon. We have observed attacks where public exploits have been incorporated into attacker playbooks.
— Microsoft Security Intelligence (@MsftSecIntel) September 24, 2020
El primer exploit de prueba de concepto se publicó horas después de la publicación de la amenaza. Esto confirmaba el análisis de Secura de que el error Zerologon es fácil de explotar.
El error Zerologon es una vulnerabilidad en Netlogon, el protocolo utilizado por los sistemas Windows. Este se usa para autenticarse en un Servidor Windows como controlador de dominio. La explotación del error puede permitir a los hackers obtener el control del dominio, e inherentemente la red interna de una empresa.
Zerologon fue descrito por muchos como el error más peligroso revelado este año. Durante el fin de semana, el DHS dio a las agencias tres días para parchearlo o desconectarlos de las redes federales.
En una alerta el lunes, CISA dijo que el error Zerologon también afecta al software de intercambio de archivos Samba. Este también necesita ser actualizado para evitar problemas.
Aunque Microsoft no ha publicado detalles sobre los ataques, lanzó hashes de archivo para los ataques utilizados en los ataques.
Como varios expertos en seguridad han recomendado desde que Microsoft reveló los ataques, las empresas que tienen su controlador de dominio expuesto en Internet deben desconectar los sistemas para parchearlos.
Heads up all Microsoft AD administrators! If you are crazy enough to run your servers with direct internet connectivity – you are in *grave* danger. Patch #Zerologon like..last month! https://t.co/sCC2hM0PAj
— Kauto Huopio (@kautoh) September 24, 2020
Estos servidores accesibles a Internet son particularmente vulnerables, ya que los ataques se pueden montar directamente, sin que el hacker primero necesite un punto de acceso en los sistemas internos.