Atacantes aprovechan la falla de Windows ZeroLogon

Atacantes aprovechan la falla de Windows ZeroLogon

Microsoft advirtió que hackers malintencionados están explotando una falla particularmente peligrosa en los sistemas de Windows Server que podría usarse para darles a los atacantes las claves del reino dentro de una red corporativa vulnerable.

La advertencia de Microsoft se produce pocos días después de que el Departamento de Seguridad Nacional de EE. UU. Emitiera una directiva de emergencia que instruye a todas las agencias federales para que reparen la vulnerabilidad a más tardar el 21 de septiembre.

La Agencia de Infraestructura y Ciberseguridad (CISA) del DHS dijo en la directiva que esperaba una explotación inminente de la falla, CVE-2020-1472 y denominada "ZeroLogon", porque el código de explotación que se puede usar para aprovecharlo estaba circulando en línea .

Anoche, la unidad de inteligencia de seguridad de Microsoft tuiteó que la compañía está "rastreando la actividad de los actores de amenazas utilizando exploits para la vulnerabilidad de Netlogon CVE-2020-1472".

“Hemos observado ataques en los que se han incorporado exploits públicos en los libros de jugadas de los atacantes”, dijo Microsoft. "Recomendamos encarecidamente a los clientes que apliquen actualizaciones de seguridad de inmediato".

Microsoft lanzó un parche para la vulnerabilidad en agosto , pero no es raro que las empresas demoren la implementación de actualizaciones durante días o semanas mientras realizan pruebas para asegurarse de que las correcciones no interfieran o interrumpan aplicaciones y software específicos.

CVE-2020-1472 obtuvo la calificación de gravedad "crítica" más grave de Microsoft, lo que significa que los atacantes pueden explotarla con poca o ninguna ayuda de los usuarios. La falla está presente en la mayoría de las versiones compatibles de Windows Server, desde Server 2008 hasta Server 2019.

La vulnerabilidad podría permitir que un atacante no autenticado obtenga acceso administrativo a un controlador de dominio de Windows y ejecute una aplicación de su elección. Un controlador de dominio es un servidor que responde a las solicitudes de autenticación de seguridad en un entorno Windows, y un controlador de dominio comprometido puede dar a los atacantes las claves del reino dentro de una red corporativa.

Scott Caveza , gerente de ingeniería de investigación de la firma de seguridad Tenable , dijo que varias muestras de ejecutables .NET maliciosos con el nombre de archivo 'SharpZeroLogon.exe' se cargaron en VirusTotal, un servicio propiedad de Google que analiza archivos sospechosos contra docenas de productos antivirus.

“Dado que la falla se puede explotar fácilmente y permitiría a un atacante tomar el control por completo de un dominio de Windows, no debería sorprendernos que estemos viendo ataques en la naturaleza”, dijo Caveza. “Los administradores deben priorizar la corrección de esta falla lo antes posible. Basándonos en la rápida velocidad de explotación, anticipamos que esta falla será una opción popular entre los atacantes y se integrará en campañas maliciosas ".

Gracias por visitar este sitio, espero que te haya gustado y vuelvas proximamente, compartela en las redes sociales, gracias

Compartir en Facebook Compartir en twitter

Fecha actualización el 2021-09-29. Fecha publicación el 2020-09-29. Categoría: Hackers Autor: Oscar olg Mapa del sitio Fuente: krebsonsecurity Version movil