A Microsoft habilitou o modo de imposição para atualizações que tratam da vulnerabilidade do Windows Zerologon em todos os dispositivos que instalaram as atualizações de segurança Patch Tuesday deste mês.
Zerologon é uma falha crítica de segurança do processo do Netlogon Windows Server (rastreada como CVE-2020-1472) que permite que invasores elevem privilégios para administradores de domínio e assumam o controle do domínio após a exploração bem-sucedida.
O Patch Tuesday de agosto de 2020 foi lançado em duas fases e força a comunicação segura de Remote Procedure Call (RPC) para contas de máquina em dispositivos Windows, contas de confiança, bem como todos os controladores de domínio Windows e não Windows.
Anteontem, 9 de fevereiro de 2021, as atualizações de substituição do Windows habilitam o modo de imposição em todos os controladores de domínio do Windows compatíveis e bloquearão conexões vulneráveis ??de dispositivos não compatíveis, segundo comunicado atualizado do Zerologon. Todavia, há uma exceção. A única exceção se aplica a DCs adicionados manualmente por administradores a um grupo de segurança dedicado que permite conexões de canal seguro Netlogon vulneráveis.
No entanto, os administradores não serão mais capazes de desabilitar ou substituir o modo de imposição para quaisquer nomes de host adicionados usando esta política de grupo de exceção. Além disso, essa alteração permitirá que invasores em potencial se façam passar por contas em ataques Zerologon. Dessa forma, a Microsoft recomenda que os clientes instalem as atualizações de fevereiro para ser totalmente protegidos contra essa vulnerabilidade.
Implementação de patch contra Windows Zerologon
A Microsoft fornece informações sobre as etapas exatas necessárias para proteger os dispositivos afetados contra ataques Zerologon. E traçou um plano de atualização, detalhado abaixo.
O primeiro passo é Atualizar seus controladores de domínio com uma atualização lançada em 11 de agosto de 2020 ou posterior. Em seguida, descobrir quais dispositivos estão fazendo conexões vulneráveis, monitorando os logs de eventos. Depois, o endereço de dispositivos não compatíveis que fazem conexões vulneráveis. E, por último, ATIVAR modo de aplicação para o endereço CVE-2020-1472 no seu ambiente.
A Microsoft também adicionou suporte para detecção de exploração Zerologon ao Microsoft Defender for Identity em novembro de 2020. Esse novo recurso permite que as equipes de Operações de Segurança detectem ataques locais que tentam abusar dessa vulnerabilidade de gravidade máxima do Windows.