ZeroLogon

ZeroLogon é o nome dado a uma vulnerabilidade extremamente ameaçadora que foi divulgada e corrigida pela Microsoft em agosto de 2020. A vulnerabilidade recebeu o identificador CVE-2020-1472 e lhe foi atribuída a classificação de gravidade máxima 10. A exploração tira proveito de algoritmos criptográficos fracos usados no processo de autenticação Netlogon. Por meio do bug, os agentes de ameaças podem desabilitar as medidas de segurança encontradas no processo de autenticação do Netlogon, alterar a senha do Active Directory, que é um banco de dados contendo todos os sistemas de computador conectados a um domínio e as senhas do controlador de domínio, também como falsificação da identidade de qualquer máquina na rede ao executar a autenticação para o controlador de domínio.

O ZeroLogon tem uma limitação enorme; portanto, não pode ser usado para assumir o controle de servidores Windows de fora de sua rede. Os agentes da ameaça precisam primeiro estabelecer uma posição segura, mas se puderem fazer isso, o ZeroLogon permitirá que comprometam completamente o domínio do Windows em questão de segundos.

O ZeroLogon pode ter sido corrigido, mas grupos de hackers ainda o estão usando em suas campanhas de ataque. Na verdade, uma campanha massiva visando empresas nos setores automotivo, farmacêutico e de engenharia foi descoberta por pesquisadores da Infosec. A campanha foi atribuída ao grupo Cicada, uma Ameaça Persistente Avançada (APT), também conhecido como APT10, Stone Panda e Cloud Hopper. Segundo o governo dos EUA, as operações do Cicada estão sendo patrocinadas pela China.

Historicamente, a região preferida do grupo é o Japão, e a campanha recém-descoberta não é uma exceção. Muitos dos métodos, técnicas e procedimentos antigos da cigarra estão em exibição completa nesta última operação, mas também existem várias novas adições. A exploração da vulnerabilidade ZeroLogon não foi vista antes por este APT em particular. A Cicada também desenvolveu e implantou uma nova vertente de malware chamada Backdoor.Hartip.

O objetivo da campanha é provavelmente o roubo de dados e a ciberespionagem. As informações que estão sendo exfiltradas para os servidores dos hackers incluem registros corporativos, informações de despesas, transcrições de reuniões, documentos de RH, etc.

As organizações tiveram vários meses para corrigir a vulnerabilidade ZeroLogon, mas aqueles que ainda não o fizeram devem realmente reconsiderar suas prioridades de segurança cibernética.