CVE-2020-1472, mais conhecido como “Zerologon”, é uma vulnerabilidade crítica em todas as versões do Microsoft Windows Server (Windows 2008 R2, 2012, 2016, 2019). Esta vulnerabilidade de escalonamento de privilégios aproveita uma falha no protocolo remoto Netlogon (MS-NRPC) e permite que um invasor personifique o sistema, incluindo a conta da máquina do próprio controlador de domínio.
A vulnerabilidade, descoberta pelo especialista em segurança Tom Tervoort da Secura, permite que um invasor remoto forje um token de autenticação para o Netlogon a fim de definir a senha do computador do domínio. Após isso, o invasor pode usar a nova senha para assumir o controlador de domínio, alterar ou adicionar autenticação de credenciais, escalar privilégios ou mover lateralmente para outras máquinas o domínio.
Detecção e defesa contra o abuso de Zerologon
Do ponto de vista de um endpoint, esse ataque pode ser difícil de detectar, pois o invasor está essencialmente se autenticando no domínio de uma maneira semelhante ao comportamento legítimo do usuário. Desta maneira, abordar a falha diretamente está “fora do escopo” para muitas soluções tradicionais de segurança de endpoint.
Entretanto, pesquisadores da SentinelOne adotaram uma abordagem exclusiva que aproveita algumas inovações exclusivas da SentinelOne para permitir a detecção desse exploit no endpoint. Como resultado de diversos testes dos pesquisadores, a plataforma da SentinelOne é capaz de detectar a exploração inicial e, também, os ataques pós-exploração em um sistema direcionado. Embora este ataque comece na rede, o endpoint está totalmente ciente das tentativas de tráfego de entrada e a atividade suspeita detectada será apresentada no console de gerenciamento da SentinelOne.
Leia mais em: https://www.sentinelone.com/blog/zerologon-cve-2020-1472-sentinelone-first-to-detect-on-the-endpoint/
Saiba mais
CLM Distribuidor www.CLM10.com
Tel. +55-11-2125-6250