ZeroLogon
ZeroLogon es el nombre que se le da a una vulnerabilidad extremadamente amenazante que fue revelada y parcheada por Microsoft en agosto de 2020. La vulnerabilidad recibió el identificador CVE-2020-1472 y se le asignó la calificación de gravedad máxima de 10. El exploit aprovecha los débiles algoritmos criptográficos utilizados. en el proceso de autenticación de Netlogon. A través del error, los actores de amenazas pueden deshabilitar las medidas de seguridad que se encuentran en el proceso de autenticación de Netlogon, cambiar la contraseña del Active Directory, que es una base de datos que contiene todas las computadoras conectadas a un dominio y las contraseñas del controlador de dominio, así como la suplantación de identidad. la identidad de cualquier máquina en la red al realizar la autenticación para el controlador de dominio.
ZeroLogon tiene una limitación enorme; por lo tanto, no se puede utilizar para controlar servidores Windows desde fuera de su red. Los actores de amenazas deben primero establecer un punto de apoyo, pero si pueden hacerlo, ZeroLogon les permite comprometer el dominio de Windows por completo en cuestión de segundos.
Es posible que ZeroLogon haya sido parcheado, pero los grupos de piratas informáticos todavía lo usan en sus campañas de ataque. De hecho, los investigadores de infosec han descubierto una campaña masiva dirigida a empresas de las entidades automotriz, farmacéutica y de ingeniería. La campaña se ha atribuido al grupo Cicada de Advanced Persistent Threat (APT), también conocido como APT10, Stone Panda y Cloud Hopper. Según el gobierno de EE. UU., China patrocina las operaciones de Cicada.
Históricamente, la región preferida del grupo es Japón, y la campaña recién descubierta no es una excepción. Muchos de los métodos, técnicas y procedimientos antiguos de Cicada están a la vista en esta última operación, pero también existen varias adiciones nuevas. La explotación de la vulnerabilidad ZeroLogon no ha sido vista antes por esta APT en particular. Cicada también ha desarrollado e implementado una nueva rama de malware llamada Backdoor.Hartip.
Lo más probable es que el objetivo de la campaña sea el robo de datos y el ciberespionaje. La información que se filtra a los servidores de los piratas informáticos incluye registros corporativos, información de gastos, transcripciones de reuniones, documentos de recursos humanos, etc.
Las organizaciones han tenido varios meses para parchear la vulnerabilidad ZeroLogon, pero aquellos que aún no lo han hecho deberían reconsiderar sus prioridades de ciberseguridad.
