Em setembro do ano passado, a Agência de Segurança de Infraestrutura e Cibersegurança dos Estados Unidos (CISA, sigla em inglês), que raramente emite diretivas sobre vulnerabilidades específicas, instruiu agências governamentais que usam o Diretório Ativo (Active Directory) do Microsoft Windows em suas redes para atualizar e corrigir todos os controladores de domínio imediatamente. O alerta foi sobre a vulnerabilidade CVE-2020-1472 no protocolo Netlogon, apelidado de Zerologon.
10.0 na escala de perigo
A vulnerabilidade Zerologon vem de um algoritmo criptográfico não confiável no mecanismo de autenticação Netlogon. Ela permite que um invasor que se conectou à rede corporativa ou infectou um computador nela ataque e, por fim, assuma o controle de um controlador de domínio.
A vulnerabilidade pontua o valor máximo da escala CVSSv3, 10.0. A Microsoft lançou um patch de atualização em agosto, mas foi um estudo aprofundado da empresa holandesa de cibersegurança Secura que chamou a atenção para o Zerologon e como pode ser explorado.
Poucas horas após o lançamento do documento, os pesquisadores começaram a publicar suas próprias provas de conceito (proofs of concept– PoC em inglês). Em alguns dias, pelo menos quatro amostras de código-fonte aberto estavam disponíveis no GitHub, demonstrando como a vulnerabilidade poderia ser realmente usada.
Zerologon em ataques reais
É claro que as PoCs disponíveis publicamente atraíram a atenção não apenas de especialistas em segurança da informação, mas também de cibercriminosos – que apenas precisavam cortar e colar o código em seu malware. Por exemplo, no início de outubro, a Microsoft relatou tentativas do grupo TA505 de explorar o Zerologon. Os cibercriminosos disfarçaram o malware como uma atualização de software e compilaram ferramentas de ataque em computadores infectados para explorar a vulnerabilidade.
Outro grupo, o responsável pelo ransomware Ryuk, usou o Zerologon para infectar toda a rede local de uma empresa em apenas cinco horas. Depois de enviar a um funcionário um e-mail de phishing padrão, os golpistas esperaram que ele fosse acessado e o computador infectado, e então usaram o Zerologon para se mover lateralmente pela rede, distribuindo um ransomware executável para todos os servidores e estações de trabalho.
Por que Zerologon é perigoso
Acreditava-se que o ataque Zerologon precisaria de uma invasão a um controlador de domínio de dentro da rede local. Na verdade, porém, os cibercriminosos há muito tempo são capazes de superar esse obstáculo usando vários métodos para sequestrar um computador na rede. Isso inclui o uso de phishing, ataques à cadeia de suprimentos e até mesmo tomadas de rede autônomas em áreas de escritório para visitantes. Um perigo adicional vem de conexões remotas (que quase todas as empresas usam atualmente) – especialmente se os funcionários são capazes de se conectar a recursos corporativos de seus próprios dispositivos.
O principal problema com o Zerologon (e outras vulnerabilidades hipotéticas desse tipo) é que seu ataque parece uma troca de dados padrão entre um computador na rede e um controlador de domínio; apenas a intensidade incomum pode levantar suspeitas. Dessa forma, as empresas que dependem exclusivamente de soluções de segurança de endpoint têm poucas chances de detectar esses ataques.
A tarefa de lidar com anomalias desse tipo é melhor deixada para serviços especializados, como o Kaspersky Managed Detection and Response (MDR). Na verdade, é um centro de segurança externo com profundo conhecimento das táticas dos cibercriminosos, fornecendo recomendações práticas detalhadas ao cliente.
A solução tem dois níveis: MDR otimizado e MDR especialista. Assim que os detalhes do Zerologon foram publicados, os especialistas do Kaspersky SOC começaram a rastrear as tentativas de explorar a vulnerabilidade dentro do serviço MDR, garantindo que ambas as versões do Kaspersky Managed Detection and Response possam combater essa ameaça.
O Kaspersky Managed Detection and Response faz parte do Kaspersky Optimum Security. Para saber mais sobre a solução, consulte a página Kaspersky MDR.