No pacote de atualizações que a Microsoft lançou em agosto, a empresa incluiu um patch para uma vulnerabilidade crítica de escalonamento de privilégios (CVE-2020-1472) no serviço de autenticação Netlogon, um serviço que, entre outras coisas, é responsável pela modificação de senhas para contas de usuário em controladores de domínio do Active Directory. Caso a falha seja explorada, um cibercriminoso não autenticado pode comprometer uma rede completa do Windows ao poder escalar privilégios e acessar com permissões de administrador de domínio. Ao ter acesso à rede, um atacante também pode modificar as senhas dos usuários e executar qualquer comando.
Essa vulnerabilidade no Windows Server, chamada de Zerologon, recebeu a classificação máxima de gravidade de 10 e foi relatada pela empresa holandesa Secura à Microsoft, que, como destacamos anteriormente, corrigiu o bug no “Patch Tuesday” de agosto. O problema é que foram lançados vários exploits através de provas de conceito no Github. Organizações como a CERT nos Estados Unidos publicaram alertas destacando a importância de instalar os patches o mais rápido possível, antes de que essa vulnerabilidade possa ser explorada por atacantes para assumir o comando de controladores de domínio em redes corporativas. Na sexta-feira (11), os pesquisadores que descobriram essa vulnerabilidade publicaram detalhes técnicos sobre o bug.
O protocolo remoto Netlogon do Windows (MS-NRPC) é o principal componente de autenticação do Active Directory e é usado para autenticar usuários e computadores contra controladores de domínio. De acordo com os pesquisadores que descobriram a falha, o Zerologon se aproveita de uma implementação criptográfica fraca do AES (Advanced Encryption Standard) usada no processo de autenticação do Netlogon. Tudo o que um atacante precisa para explorar essa vulnerabilidade é estabelecer uma conexão TCP com o controlador de domínio, seja porque ele está exposto à Internet ou porque o atacante comprometeu algum outro computador na rede. Além disso, o atacante não precisa das credenciais do usuário, pois o ataque é executado sem a necessidade de autenticação. Por outro lado, os pesquisadores da Secura publicaram uma ferramenta, que pode ser baixada no Github, para verificar se seus próprios sistemas são vulneráveis ou não ao Zerologon.
Caso seja explorada por cibercriminosos, essa vulnerabilidade pode provocar um impacto enorme, principalmente considerando ameaças como o ransomware que, ao obter acesso, podem comprometer muitos computadores dentro da rede.
Sobre os exploits do Zerologon
Os pesquisadores da Secura comentaram que não divulgariam totalmente uma prova de conceito que explore essa vulnerabilidade, mas advertiram que a criação de um exploit poderia ser realizada sem muito esforço. Da mesma forma, pelo menos três pesquisadores publicaram suas próprias provas de conceito de forma independente, explicou o site ArsTechnica. A maioria desses exploits são desenvolvidos em Python, mas também foram publicados em .NET.
Apesar da Microsoft ter destacado, bem antes das provas de conceito serem divulgadas, que a exploração dessa vulnerabilidade seria improvável, poucas semanas depois estamos falando sobre os exploits que se aproveitam dessa falha que já tem até nome próprio.
O analista de vulnerabilidades do CERT Coordination Center nos Estados Unidos, Will Dormann, confirmou que um dos exploits divulgados publicamente funciona.
Yeah, I can confirm that this public exploit for Zerologon (CVE-2020-1472) works. Anybody who has not installed the patch from August's Patch Tuesday already is going to be in much worse shape than they already were.https://t.co/SWK2hUDOYc https://t.co/0SDFfageQC pic.twitter.com/Lg8auMdtVU
— Will Dormann (@wdormann) September 14, 2020
De acordo com a Microsoft, os clientes que usam uma versão do Windows Server (com suporte) e que instalaram o patch lançado com a atualização de agosto ou têm a instalação automática da atualização habilitada estarão protegidos e não precisarão tomar nenhuma outra ação.
A Microsoft irá mitigar essa vulnerabilidade em duas fases. A primeira delas foi o patch lançado em agosto que consiste em um reparo temporário, mas há uma segunda fase programada para a 2ª terça-feira de fevereiro de 2021.
De acordo com o pesquisador da ESET, Alan Warburton, “essa vulnerabilidade sem dúvida será algo bastante atrativo para os cibercriminosos. Ainda é muito cedo para podermos determinar o alcance e os efeitos que isso trará até que comecem a desenvolver mais e melhores maneiras de exploração dessa falha”.