Están utilizando exploits de Zerologon en ataques de manera activa


Microsoft advierte que detectó ataques utilizando los exploits de Zerologon divulgados de manera pública.

El equipo de seguridad de Microsoft publicó a través de su cuenta de Twitter que está detectando actividad por parte de actores maliciosos que están utilizando de manera activa exploits para la vulnerabilidad Zerologon. “Hemos observado ataques en los que están utilizando exploits lanzados de forma pública, los cuales han sido incorporados a las tácticas de los atacantes”, publicó Microsoft. Por lo tanto, es importante instalar el parche lo antes posible.

Microsoft is actively tracking threat actor activity using exploits for the CVE-2020-1472 Netlogon EoP vulnerability, dubbed Zerologon. We have observed attacks where public exploits have been incorporated into attacker playbooks.

— Microsoft Security Intelligence (@MsftSecIntel) September 24, 2020

La semana pasada informábamos que se habían divulgado de forma pública exploits para Zerologon, una vulnerabilidad (CVE-2020-1472) crítica en el servicio de autenticación Netlogon que fue parcheada por Microsoft en el paquete de actualizaciones de agosto. De ser explotada, un atacante sería capaz de comprometer una red de Windows y escalar privilegios hasta obtener permisos de administrador de dominio, todo esto sin necesidad de autenticación.

De hecho, desde el equipo del laboratorio de ESET Latinoamérica publicamos un video en el cual comprobamos que uno de los exploits publicados, más específicamente el de dirkjanm, funciona. Este investigador a su vez publicó un hilo muy completo en el que explica el impacto que puede tener la explotación de Zerologon.

Tal como mencionábamos en el artículo anterior, la semana pasada habían sido publicados al menos tres exploits, y si bien la mayoría han sido desarrollados en Python, también se habían publicado exploits para Zerologon en .NET. Y de hecho, de acuerdo a un análisis que hizo BleepingComputer a partir de las muestras vinculadas a los ataques que fueron publicados por Microsoft vía Twitter, comprobaron que las muestras corresponden a ejecutables en .NET bajo el nombre de  “SharpZeroLogon.exe” y pueden encontrarse en Virus Total.