A Microsoft está trabalhando para adicionar suporte para detecção de ataques de Bit Bronze ao Microsoft Defender for Identity para tornar mais fácil para as equipes de Operações de Segurança detectar tentativas de abuso de um bug de desvio de segurança Kerberos do Windows.
O Microsoft Defender for Identity é uma solução de segurança baseada em nuvem que aproveita os sinais do Active Directory no local. Ele permite que as equipes do SecOps detectem e investiguem ameaças avançadas comprometidas, identidades e atividades internas mal-intencionadas que visam as organizações inscritas.
A Microsoft explica que quando o recurso estiver em funcionamento “Um alerta será disparado quando houver evidência de tentativas suspeitas de delegação Kerberos usando o método BronzeBit, onde um usuário tentou usar um tíquete para delegar acesso a um recurso específico”.
A falha, corrigida pela Microsoft durante a Patch Tuesday de novembro de 2020, pode ser explorada no que Jake Karnes, o consultor de segurança que descobriu, chamou de ataques Kerberos Bronze Bit. A Microsoft abordou a vulnerabilidade do Bit de Bronze em uma implantação em etapas de duas fases, com a fase de implantação inicial em 8 de dezembro e uma fase de aplicação automática em 9 de fevereiro.
Um mês depois que a Microsoft lançou os patches CVE-2020-17049, Karnes publicou um código de exploração de prova de conceito (PoC) e detalhes completos sobre como ele poderia ser usado, lembra o BleepingComputer.
A exploração pode contornar a proteção de delegação Kerberos, permitindo que os invasores escalem privilégios, personifiquem os usuários-alvo e movam-se lateralmente em ambientes comprometidos.
O lançamento de todos esses detalhes adicionais e o exploit PoC provavelmente tornaria muito mais fácil violar servidores Windows não corrigidos contra CVE-2020-17049 e foi o que provavelmente levou Redmond a adicionar suporte de detecção de Bit de Bronze ao Microsoft Defender for Identity.
A detecção de ataque PrintNightmare e Zerologon também está disponível
Em julho, a Microsoft também adicionou suporte para detecção de exploração PrintNightmare ao Microsoft Defender for Identity após incluir a detecção de exploração Zerologon em novembro de 2020.
Ambos são vulnerabilidades de segurança críticas, com o PrintNightmare (CVE-2021-34527) permitindo que invasores assumam os servidores afetados elevando os privilégios para Administrador de Domínio, enquanto Zerologon (CVE-2020-1472) pode ser explorado para elevar privilégios para falsificar uma conta de controlador de domínio que leva ao controle total de todo o domínio.
Vários agentes de ameaças, incluindo gangues de ransomware como Vice Society, Conti e Magniber, já usam exploits PrintNightmare para comprometer servidores Windows não corrigidos, aponta o BleepingCompupter.
Via: BleepingComputer
