Se alguma vez houve um momento para reexaminar a segurança do seu Active Directory, esse momento é agora.
Em resposta às crescentes preocupações sobre a notória vulnerabilidade Zerologon (CVE-2020-1472), a Agência de Segurança Cibernética e de Infra-estruturas dos EUA (CISA) emitiu uma "Directiva de Emergência" às agências federais para aplicarem imediatamente o patch da Microsoft. Seria inteligente que as empresas seguissem o exemplo.
Vulnerabilidade grave de escalonamento de privilégios do "Zerologon"
Na semana passada, surgiu online o código de exploração para a grave vulnerabilidade de escalonamento de privilégios denominada "Zerologon". A vulnerabilidade reside no protocolo remoto Netlogon. Ao enviar uma série de mensagens Netlogon com vários campos preenchidos com zeros, o atacante pode alterar a palavra-passe do controlador de domínio (DC) armazenado no AD. Com efeito, o ataque permite a qualquer agente de ameaça na rede local elevar os seus privilégios e comprometer o domínio Windows sem quaisquer credenciais de utilizador. Com o Zerologon, os atacantes podem roubar as credenciais de administrador do domínio e restaurar a palavra-passe original do controlador de domínio, facilitando todo o tipo de ataques, desde ransomware a roubo de dados.
Descoberto por investigadores da Secura, o bug tem uma pontuação CVSS de 10 em 10, a classificação mais grave. Várias explorações de prova de conceito para o Zerologon já foram lançadas na natureza. O Zerologon também foi operacionalizado numa versão actualizada da ferramenta Mimikatz.
Já corrigiram o problema?
Com as explorações a circular, a pressão é grande para que as correcções sejam feitas o mais rapidamente possível. Esta questão está a ser tratada em duas partes. Em Agosto, a Microsoft lançou uma actualização de segurança que altera o protocolo Netlogon para proteger os dispositivos Windows por predefinição, registar eventos de descoberta de dispositivos não conformes e permitir a protecção de todos os dispositivos ligados ao domínio com excepções explícitas. Uma segunda actualização está prevista para o primeiro trimestre de 2021. Irá impor a utilização segura de chamadas de procedimento remoto (RPC) para contas de máquinas em sistemas não baseados no Windows, excepto se permitido pelo "Controlador de domínio: Permitir ligações de canal seguro Netlogon vulneráveis".
É de notar que, após a implementação da actualização de Agosto, os DCs corrigidos registarão a ID de evento 5829 no registo de eventos do sistema sempre que for permitida uma ligação de canal seguro Netlogon vulnerável. A Microsoft aconselha as organizações a resolverem estes eventos antes de o modo de imposição do DC ser configurado ou antes da actualização em 2021 para evitar interrupções. É também crucial que todos os DCs, mesmo os controladores de domínio só de leitura, sejam actualizados. O processo de aplicação de patches nem sempre é fácil, sendo muitas vezes afectado por atrasos devido ao elevado número de aplicações e sistemas em ambientes de TI e ao receio geral de perturbar as operações. Ainda assim, qualquer organização que utilize o Active Directory deve começar a identificar sistemas vulneráveis agora e dar prioridade à aplicação de patches.
Esteja preparado para um afluxo de novos ataques que visam o Active Directory
Após a aplicação rigorosa de patches, é altura de reconhecer o influxo de novos ataques que exploram o Active Directory. Entenda seus pontos fracos e concentre-se em fortalecer o AD. As avaliações de vulnerabilidade e configuração são partes vitais para elevar a fasquia dos atacantes que visam o AD. Da mesma forma, monitorizar continuamente as alterações do AD que contornam os registos de segurança e permitir a reversão autónoma de modificações suspeitas que são demasiado arriscadas para esperar pela intervenção humana irá impedir o movimento lateral e as ameaças persistentes avançadas. A monitorização automatizada, a avaliação de vulnerabilidades e a correcção são partes vitais para manter o seu ambiente AD seguro.
No caso de um desastre cibernético, fazer cópias de segurança regulares e armazenar cópias offline será a diferença entre uma breve interrupção e um tempo de inactividade prolongado se o AD for comprometido. Caso contrário, as cópias de segurança acessíveis pela rede podem ser facilmente destruídas e aumentar as hipóteses de pagamento por parte da vítima. As organizações devem ter sempre cópias de segurança suficientes para efectuar uma recuperação total da floresta. Por fim, evite restauros bare-metal e do estado do sistema quando recuperar de um ciberataque, uma vez que estas abordagens acarretam graves problemas subjacentes, incluindo a possibilidade provável de reinfecção por malware.
Como o Zerologon demonstra, está na altura de as organizações analisarem a postura de segurança do Active Directory. Um atacante motivado sempre encontrará uma maneira de entrar, de uma forma ou de outra. Não deixe que o AD seja um alvo fácil.