A equipe de segurança da Microsoft publicou no Twitter que está detectando atividades de cibercriminosos que estão usando ativamente exploits para a vulnerabilidade Zerologon. “Observamos ataques que usam exploits lançados publicamente e que foram incorporados às táticas dos atacantes”, publicou a Microsoft. Portanto, é importante que os usuários do Windows possam instalar o patch para a falha o mais rápido possível.
Microsoft is actively tracking threat actor activity using exploits for the CVE-2020-1472 Netlogon EoP vulnerability, dubbed Zerologon. We have observed attacks where public exploits have been incorporated into attacker playbooks.
— Microsoft Security Intelligence (@MsftSecIntel) September 24, 2020
Na semana passada, publicamos um artigo sobre a divulgação de exploits para o Zerologon, uma vulnerabilidade crítica (CVE-2020-1472) no serviço de autenticação Netlogon que foi corrigida pela Microsoft no pacote de atualizações de agosto. Caso essa falha seja explorada, um atacante pode comprometer uma rede Windows e escalar privilégios para obter permissões de administrador de domínio - tudo isso sem a necessidade de autenticação.
O Laboratório de Pesquisa da ESET na América Latina publicou um vídeo no qual se pode ver que um dos exploits publicados, mais especificamente o do dirkjanm, realmente funciona. Alan Warburton, Security Intelligence Analyst da ESET, publicou um tópico muito completo em que explica o impacto que a exploração do Zerologon pode ocasionar.
Assim como mencionamos no artigo anterior, pelo menos três exploits foram publicados na semana passada e, embora a maioria tenha sido desenvolvida em Python, os exploits para o Zerologon também foram publicados em .NET. E de fato, de acordo com uma análise realizada pelo portal BleepingComputer a partir das amostras vinculadas aos ataques que foram publicados pela Microsoft via Twitter, foi possível verificar que as amostras correspondem a executáveis em .NET com o nome de "SharpZeroLogon.exe" e que podem ser encontradas no Virus Total.
