Pesquisadores desenvolveram e também publicaram recentemente uma certa exploração de prova de conceito para uma vulnerabilidade muito recentemente conhecida do Windows que dará acesso aos controladores de domínio do Active Directory que, por sua vez, atuam como uma espécie de “guardião” das máquinas conectadas a esta rede.
O CVE-2020-1472, como toda a vulnerabilidade é rastreada, na verdade carrega um tipo de classificação de gravidade crítica dada pela Microsoft, bem como um máximo de até 10 na escala do Sistema de Pontuação de Vulnerabilidade Comum.
O ataque exige, no entanto que o invasor já tenha uma certa base de apoio dentro de uma determinada rede alvo, seja como uma espécie de infiltrado ou mesmo através do comprometimento de um determinado dispositivo conectado.
Bug detectado
Estes tipos de explorações pós-compromisso tornaram-se, na verdade bastante valiosos para diferentes invasores que estão tentando empurrar tanto um spyware de resgate quanto até mesmo spyware de espionagem. Eles fazem isso enganando os funcionários para realmente clicar em um certo link malicioso e também em anexos encontrados em e-mails, tornando-o relativamente fácil.
Os invasores então usam esses diferentes computadores comprometidos a fim de girar para recursos ainda mais valiosos, mas isto é muito mais difícil.
Um código bem desenvolvido
Zerologon, um código desenvolvido por alguns pesquisadores da empresa de segurança conhecida como Secura, permite que os invasores ganhem instantaneamente o controle do Active Directory real. Isto lhes permitirá então ter rédea livre e lhes dará o poder de fazer praticamente tudo o que quiserem, desde adicionar certos computadores novos a toda a rede ou até mesmo infectar cada um deles com seu malware particular de escolha.
De acordo com pesquisadores da Secura, o ataque terá um enorme impacto e que basicamente permite a qualquer atacante na rede local conhecida, assim como invasores maliciosos infiltrados ou qualquer um que simplesmente tenha conectado um dispositivo a uma certa porta de rede local para que eles possam comprometer completamente todo o domínio Windows.
Leia mais: Novo vírus de computador Ransomware difícil de detectar
Também foi declarado que o ataque também é completamente antiético e que o invasor não precisa nem mesmo usar nenhuma das credenciais do usuário.
Os pesquisadores da Secura, que então descobriram toda a vulnerabilidade e reportaram esta vulnerabilidade à Microsoft, disseram que desenvolveram um programa que funciona de forma confiável, mas com os riscos dados, eles não estão realmente liberando até que estejam totalmente confiantes de que o patch da Microsoft já foi amplamente instalado em diferentes servidores vulneráveis.
Os pesquisadores, entretanto, advertiram que ainda não é difícil usar o patch da Microsoft para trabalhar de forma retroativa e também desenvolver um exploit. Enquanto isso, os pesquisadores separados e outras empresas de segurança também publicaram seu próprio código de ataque de provas de conceito em três lugares diferentes
Traduzido e adaptado por equipe Revolução.etc.br
Fontes: Tech Times, Microsoft, Secura
