Microsoft implementa el "modo de aplicación" de Windows Zerologon Flaw - Calendae | Informática, Electrónica, CMS, Ciberseguridad

Microsoft implementa el «modo de aplicación» de Windows Zerologon Flaw

Hola y mil gracias por leerme. En el teclado Eduardo Arroyo y en esta ocasión vamos a hablar sobre Microsoft implementa el «modo de aplicación» de Windows Zerologon Flaw

Microsoft implementa el «modo de aplicación» de Windows Zerologon Flaw

A partir del 9 de febrero, Microsoft habilitará el «modo de aplicación» del controlador de dominio de forma predeterminada en CVE-2020-1472.

Microsoft está tomando el asunto en sus propias manos cuando se trata de empresas que aún no han actualizado sus sistemas para abordar la falla crítica de Zerologon. El gigante tecnológico pronto bloqueará las conexiones vulnerables de forma predeterminada en dispositivos que podrían usarse para explotar la falla.

A partir del 9 de febrero, Microsoft dijo que habilitará el «modo de ejecución» del controlador de dominio de forma predeterminada, una medida que ayudaría a mitigar la amenaza.

Los controladores de dominio de Microsoft Active Directory están en el corazón de la vulnerabilidad Zerologon. Los controladores de dominio responden a las solicitudes de autenticación y verifican a los usuarios en las redes informáticas. Una explotación exitosa de la falla permite a los atacantes no autenticados con acceso a la red a los controladores de dominio comprometer completamente todos los servicios de identidad de Active Directory.

Haga clic para registrarse: se abre una nueva pestaña del navegador

El modo de aplicación del controlador de dominio «bloqueará las conexiones vulnerables de los dispositivos no compatibles», dijo Aanchal Gupta, vicepresidente de ingeniería de Microsoft. en una publicación del jueves. «El modo de aplicación de DC requiere que todos los dispositivos Windows y no Windows utilicen RPC seguro con el canal seguro de Netlogon, a menos que los clientes hayan permitido explícitamente que la cuenta sea vulnerable al agregar una excepción para el dispositivo no compatible».

Secure RPC es un método de autenticación que autentica tanto al host como al usuario que solicita un servicio.

Esta nueva implementación es un intento de evitar que los ciberdelincuentes obtengan acceso a la red a los controladores de dominio, que pueden usar para aprovechar la falla de escalada de privilegios de Zerologon (CVE-2020-1472). La falla, con una puntuación de gravedad crítica CVSS de 10 sobre 10, se corrigió por primera vez en las actualizaciones de seguridad de Microsoft de agosto de 2020. Pero a partir de septiembre, al menos cuatro vulnerabilidades de prueba de concepto (PoC) públicas por el defecto en el que fueron liberadosGitHub, junto con los detalles técnicos de la vulnerabilidad.

Hacer cumplir el modo «es un movimiento bienvenido porque es una vulnerabilidad potencialmente dañina que podría usarse para secuestrar todos los privilegios de administrador de dominio, las» joyas de la corona «de cualquier red que proporcione a un atacante el modo Dios para la red. de servidores Windows ”, dijo a Threatpost Mark Kedgley, director de tecnología de New Net Technologies (NNT). “Al establecer este ajuste, queda claro que es demasiado peligroso dejarlo abierto. [The] El mensaje para todos es actualizar con frecuencia y con regularidad y garantizar que el estándar de configuración de configuración segura se actualice con las últimas noticias. [Center for Internet Security] o [Security Technical Implementation Guide] recomendaciones. «

Zerologon se ha vuelto más serio en los últimos meses a medida que varios actores de amenazas y grupos de amenazas persistentes avanzadas (APT) detectaron la falla, incluidos ciberdelincuentes como APT Cicada y el grupo MERCURY APT.

«Los ataques reportados comenzaron a ocurrir dentro de las dos semanas posteriores a la revelación de la vulnerabilidad», dijo a Threatpost Ivan Righi, analista de inteligencia de amenazas cibernéticas de Digital Shadows. «También se observó que APT10 (también conocido como Cicada, Stone Panda y Cloud Hoppe) aprovechaba Zerologon para apuntar a empresas japonesas en noviembre de 2020».

El gobierno de EE. UU. También intervino para movilizar a las organizaciones para que se actualicen después de que se publicaron los exploits, con la emisión del DHS. una directiva de emergencia poco común que ordenó a las agencias federales reparar sus servidores Windows contra la falla antes del 21 de septiembre.

Gupta, por su parte, dijo que las organizaciones pueden tomar cuatro pasos para evitar la falla principal: actualizar sus controladores de dominio a una actualización lanzada el 11 de agosto de 2020 o más tarde; averigüe qué dispositivos están haciendo conexiones vulnerables (monitoreando los eventos de registro); abordar aquellos dispositivos que no cumplen con las normas que hacen conexiones vulnerables; y habilite la aplicación del controlador de dominio.

«Teniendo en cuenta la gravedad de la vulnerabilidad, se recomienda que todos los controladores de dominio se actualicen con el último parche de seguridad lo antes posible», dijo Righi a Threatpost.

¿Está la cadena de suministro de software de su empresa lista para un ataque? El miércoles 20 de enero a las 2 p.m. ET, comience a identificar los puntos débiles en su cadena de suministro con el asesoramiento práctico de un experto, parte de un seminario web de participación limitada y LIVE Threatpost. Se invita a CISO, AppDev y SysAdmin a preguntar a un grupo de expertos en ciberseguridad de primer nivel cómo pueden evitar quedar atrapados en un mundo posterior al hack de SolarWinds. La asistencia es limitada: reserve un asiento para este seminario web exclusivo de Threatpost Supply Chain Security, 20 de enero a las 2 p.m.

.

Puedes compartir en en tu Twitter y Facebook para que tus colegas lo lean

??? ? ? ???

Comparte