Microsoft advierte que los actores de amenazas continúan explotando el error Zerologon - Calendae | Informática, Electrónica, CMS, Ciberseguridad

Microsoft advierte que los actores de amenazas continúan explotando el error Zerologon

Hola de nuevo. Yo soy Eduardo Arroyo y esta vez te voy a hablar sobre Microsoft advierte que los actores de amenazas continúan explotando el error Zerologon

Microsoft advierte que los actores de amenazas continúan explotando el error Zerologon

El gigante tecnológico y los federales renovaron esta semana su urgencia para que las organizaciones actualicen los controladores de dominio de Active Directory.

Los atacantes continúan explotando la vulnerabilidad Zerologon de Microsoft, una situación que ha sido una preocupación persistente tanto para la compañía como para el gobierno de los Estados Unidos durante los últimos meses. Ambos renovaron el jueves su llamado a empresas y usuarios finales para que actualicen los sistemas Windows con un parche lanzado por Microsoft en agosto para mitigar los ataques.

A pesar de los esfuerzos de reconocimiento de parches, Microsoft dijo que aún recibe «una pequeña cantidad de informes de clientes y otros» sobre exploits activos del error monitoreado, como CVE-2020-1472, o Zerologon, según un entrada en el blog El jueves por Aanchal Gupta, vicepresidente de ingeniería de MSRC.

La vulnerabilidad de elevación de día cero, que se calificó como crítica y se reveló y solucionó por primera vez el 11 de agosto, podría permitir a un atacante falsificar una cuenta de controlador de dominio y luego usarla para robar las credenciales de un controlador de dominio. dominio, tome el control del dominio y comprometa por completo todos los servicios de identidad de Active Directory.

El error se encuentra en un componente de autenticación básica de Active Directory en el sistema operativo Windows Server y en el protocolo Microsoft Windows Netlogon Remote (MS-NRPC). La falla proviene del protocolo remoto Netlogon, disponible en los controladores de dominio de Windows, que se utiliza para diversas tareas relacionadas con la autenticación de usuarios y máquinas.

Gupta instó a las organizaciones a implementar el parche del 11 de agosto o una versión posterior en cada controlador de dominio como el primero en un proceso de cuatro pasos para corregir la vulnerabilidad. Por lo tanto, los administradores deben monitorear los registros de eventos para averiguar qué dispositivos están haciendo conexiones vulnerables; abordar los dispositivos no conformes identificados; y permitir que la aplicación solucione el error en el entorno general, dijo.

«Una vez implementado por completo, el controlador de dominio de Active Directory y las cuentas de confianza estarán protegidas junto con las cuentas de computadora unidas a un dominio de Windows», dijo.

Además de los parches de Microsoft, tanto Samba como 0patch también lanzaron correcciones para CVE-2020-1472 el mes pasado para llenar algunos de los vacíos que el parche oficial no aborda, como las versiones al final de su vida útil de Windows.

El último aviso de Microsoft fue suficiente para que la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) del Departamento de Seguridad Nacional (DHS) interviniera y emitiera una declaración de sus organizaciones advirtiendo el jueves de la explotación continua del error.

Dada la gravedad de la vulnerabilidad, el gobierno ha sido casi tan activo como Microsoft en instar a las personas a actualizar sus sistemas. Es probable que el interés federal se haya intensificado desde la advertencia de Microsoft a principios de este mes de que un actor de amenaza persistente avanzada (APT) del estado-nación iraní que Microsoft llama MERCURY (también conocido como MuddyWater, Static Kitten and Seedworm) es ahora aprovechando activamente Zerologon.

«CISA insta a los administradores a parchear todos los controladores de dominio de inmediato; hasta que se actualice cada controlador de dominio, toda la infraestructura permanece vulnerable, ya que los actores de amenazas pueden identificar y explotar un sistema vulnerable en minutos», según el aviso CISA.

La agencia también publicó un archivo secuencia de comandos de validación de parches para detectar controladores de dominio de Microsoft sin parches para ayudar a los administradores a instalar la actualización. «Si se detecta una observación de la actividad de Netlogon CVE-2020-1472 o se detectan otros indicios de abuso de credenciales válidas, se debe suponer que los ciber actores maliciosos han comprometido todos los servicios de identidad», advirtió la CISA.

Zerologon ha sido una espina clavada en el costado de Microsoft desde su descubrimiento, un escenario que se ha intensificado desde principios de septiembre gracias en gran parte a la publicación de cuatro exploits de prueba de concepto para la falla.Github. Poco después de que se publicaran los exploits, los investigadores de Cisco Talos advirtieron sobre un aumento en los intentos de explotación contra Zerologon.

El gobierno de EE. UU. Intervino por primera vez para reunir a las organizaciones para actualizar después de que se lanzaron los exploits, emitiendo el DHS una directiva de emergencia poco común que ordenó a las agencias federales que parcheen sus servidores Windows contra la falla antes del 21 de septiembre.

.

Deberías compartir en una historia de tu Instagram para que tus colegas lo lean

??? ? ? ???

Comparte