Tem havido um grande foco na vulnerabilidade CVE-2020-1472 Netlogon Elevation of Privilege, amplamente conhecida como ZeroLogon. Embora a Microsoft recomende enfaticamente que você implante as atualizações de segurança mais recentes em seus servidores e dispositivos, também queremos fornecer a você a melhor cobertura de detecção possível para seus controladores de domínio. Microsoft Defender for Identity, juntamente com outrosMicrosoft 365As soluções do Defender detectam adversários enquanto tentam explorar essa vulnerabilidade contra seus controladores de domínio.
Aqui está uma prévia do nosso ciclo de vida de detecção
Sempre que uma vulnerabilidade ou superfície de ataque é divulgada, nossas equipes de pesquisa investigam imediatamente as explorações e produzem vários métodos para detectar ataques. Isso é destacado em nossa resposta a ataques WannaCry suspeitos e com o alerta para manipulação de pacotes suspeitos de SMB (pequenas e médias empresas) (exploração CVE-2020-0796). Esses métodos de detecção são testados em nosso ambiente de laboratório e detectores experimentais são implantados no Microsoft Defender for Identity para avaliar o desempenho e a precisão e encontrar possível atividade do invasor.
Nos últimos dois meses, desde que o CVE-2020-1472 foi divulgado pela primeira vez, o interesse nesta detecção aumentou rapidamente. Isso aconteceu mesmo que não tenhamos observado nenhuma atividade correspondente à exploração dessa vulnerabilidade nas semanas iniciais após as atualizações de segurança de agosto. Geralmente, demora um pouco até que as vulnerabilidades divulgadas sejam submetidas à engenharia reversa e mecanismos correspondentes sejam construídos.
Essa falta de atividade mudou em 13 de setembro, quando acionamos um aumento nos alertas. Simultaneamente, esse aumento na atividade foi seguido pela publicação de várias ferramentas de prova de conceito e exploits de demonstração que podem alavancar a vulnerabilidade.
Figura 1: Orgs com tentativas de exploração ZeroLogon por equipes vermelhas e atacantes reais a partir de 13 de setembro de 2020
O Microsoft Defender for Identity pode detectar essa vulnerabilidade logo no início. Abrange os aspectos de exploração e inspeção de tráfego do canal Netlogon.
Figura 2: Experiência da página de alerta
Com este alerta do Microsoft Defender for Identity, você será capaz de identificar:
- O dispositivo que tentou a representação.
- O controlador de domínio.
- O ativo de destino.
- Se as tentativas de falsificação de identidade foram bem-sucedidas.
Finalmente, os clientes que usam Microsoft 365O Defende r pode aproveitar ao máximo o poder dos sinais e alertas do Microsoft Defender for Identity, combinado com eventos comportamentais e detecções do Microsoft Defender for Endpoint. Essa proteção coordenada permite que você não apenas observe as tentativas de exploração do Netlogon nos protocolos de rede, mas também veja o processo do dispositivo e a atividade do arquivo associada à exploração.
Uma análise detalhada de alguns dos primeiros ataques do ZeroLogon
ZeroLogon é uma vulnerabilidade poderosa para os invasores aproveitarem, mas em um cenário de ataque normal, ele exigirá um vetor de entrada inicial dentro de uma organização para facilitar a exploração contra controladores de domínio. Durante o monitoramento inicial dos sinais de segurança, os especialistas em ameaças da Microsoft observaram a atividade de exploração do ZeroLogon em várias organizações. Em muitos casos, ficou claro que a atividade foi originada de equipes vermelhas ou pen testers usando scanners de vulnerabilidade automatizados para localizar servidores vulneráveis. No entanto, os pesquisadores da Microsoft também foram capazes de identificar alguns casos limitados de invasores reais entrando no trem ZeroLogon para expandir seu perímetro em organizações que, após um mês de atualização disponível, ainda estavam executando controladores de domínio sem patch.
Figura 3: Atividade típica de exploração do Zerologon gerada por um scanner de vulnerabilidade ou um controlador de domínio de teste de equipe vermelha em escala
Um dos adversários observados por nossos analistas foi interessante porque o invasor aproveitou uma vulnerabilidade mais antiga do SharePoint (CVE-2019-0604) para explorar servidores remotamente sem patch (normalmente Windows Server 2008 e Windows Server 2012) e, em seguida, implantar um shell da web para obter persistência acesso e execução de código. Após a instalação do shell da web, esse invasor implantou rapidamente uma carga baseada em Cobalt Strike e imediatamente começou a explorar o perímetro da rede e direcionar os controladores de domínio encontrados com o exploit ZeroLogon.
Usando o identificador do Twitter @MsftSecIntel, compartilhamos publicamente alguns indicadores de arquivo usados durante o ataque. Também compartilhamos as variações dos exploits ZeroLogon que detectamos, muitos dos quais eram versões recompiladas de código de prova de conceito conhecido e disponível publicamente. O Microsoft Defender for Endpoint também pode detectar certas versões baseadas em arquivo do exploit CVE-2020-1472 quando executado em dispositivos protegidos pelo Microsoft Defender for Endpoints.
Continuação da matéria abaixo.
Fonte: https://www.microsoft.com/security/blog/2020/11/30/zerologon-is-now-detected-by-microsoft-defender-for-identity/
Conheça nossas soluções, clique aqui.