Homeland Security emitió una advertencia poco común sobre una vulnerabilidad de Windows Server que daría a los atacantes el control total de cada computadora en una red.
La advertencia de CISA decía en ese momento que asume que la explotación activa está ocurriendo en la naturaleza, y aconseja a todos que apliquen el parche de agosto que lanzó Microsoft.
Microsoft señaló el jueves que ya ha observado ataques que incorporan la nueva falla de Windows.


La Agencia de Seguridad de Infraestructura y Ciberseguridad de Homeland Security (CISA) emitió una rara alerta de emergencia la semana pasada, sobre lo que parece ser una de las peores fallas de Windows en la historia reciente. Los investigadores de seguridad han identificado una vulnerabilidad tan grave que recibió una puntuación máxima de gravedad (10,0), lo que llevó a la agencia a aconsejar a todas las agencias gubernamentales que actualicen sus computadoras con el primer parche de Microsoft para el problema que se lanzó hace unas semanas. El problema es tan grave que se lanzará una segunda actualización a principios del próximo año para tratar más el asunto.

Cuando CISA publicó la advertencia, recomendó a todos que "vayan a ponerse parches", incluidas las agencias gubernamentales, los gobiernos estatales y locales, las empresas privadas y el público en general. También dijo en ese momento que asumió que "la explotación activa de esta vulnerabilidad está ocurriendo en la naturaleza". Desde entonces, Microsoft ha confirmado esas suposiciones, lo que indica que encontró evidencia de que los piratas informáticos se aprovecharon de la vulnerabilidad Zerologon.

Zerologon es muy peligroso porque permite que personas malintencionadas se apoderen de las computadoras en una red sin robar ninguna credencial de antemano. El ataque implica falsificar un token de autenticación para una funcionalidad de Netlogon, que luego abre las puertas a todo.
Una falla en un esquema de autenticación criptográfica hace que todo sea posible. Una vez que se otorga acceso a la red, los atacantes podrían infectar computadoras con malware adicional y extraer datos de esas computadoras.

Microsoft tuiteó una actualización sobre el asunto el jueves, diciendo que "está rastreando activamente la actividad de los actores de amenazas utilizando exploits para la vulnerabilidad CVE-2020-1472 Netlogon EoP, denominada Zerologon". La compañía dijo que observó "ataques en los que se han incorporado exploits públicos en los libros de jugadas de los atacantes", sin detallar ningún incidente de seguridad.
A pesar de la advertencia de CISA, es posible que no todos hayan parcheado su red, lo que explica por qué es posible que algunos piratas informáticos ya estén explotando el ataque. La falla afecta a la mayoría de las versiones compatibles de Windows Server, explica KrebsOnSecurity. Eso incluye Server 2008 a Server 2019.
La mayoría de los usuarios de Windows ni siquiera tendrían que lidiar con el parche ellos mismos. Aún así, podrían verse afectados directamente si la agencia gubernamental o la empresa en la que trabajaban es atacada a través de un ataque Zerologon antes de que los administradores parcheen la red.

Es posible que Microsoft no sea la única empresa que haya observado actividad maliciosa relacionada con el nuevo exploit. El gerente de ingeniería de investigación de Tenable, Scott Caveza, dijo que se habían cargado muestras de ejecutables .NET llamadas “SharpZeroLogon.exe” en VirusTotal, un servicio de Google que analiza archivos sospechosos contra programas antivirus.

Chris Smith comenzó a escribir sobre gadgets como un pasatiempo y, antes de darse cuenta, compartió sus puntos de vista sobre tecnología con lectores de todo el mundo. Siempre que no escribe sobre aparatos, fracasa miserablemente en mantenerse alejado de ellos, aunque lo intenta desesperadamente. Pero eso no es necesariamente algo malo.


Fuente: BGR

Dejar respuesta

Please enter your comment!
Please enter your name here