Defecto crítico de Zerologon explotado en ataques TA505



Microsoft informa una nueva campaña que aprovecha la vulnerabilidad crítica de Zerologon pocos días después de que se viera que el grupo estatal Mercury usaba la falla.

Microsoft ha observado una nueva actividad de amenazas que explota la vulnerabilidad crítica de Zerologon (CVE-2020-1472. La campaña se presenta como actualizaciones de software program que se conectan con la infraestructura de comando y handle TA505 conocida, informa la compañía.

TA505 es un grupo de amenazas de habla rusa conocido por difundir el troyano bancario Dridex y el ransomware Locky. Si bien sus organizaciones víctimas abarcan tamaños e industrias, se sabe que se dirige a organizaciones financieras y utiliza una variedad de técnicas de ataque para lograr sus nefastos objetivos.

Esta vez está armando Zerologon, una vulnerabilidad que se ha convertido en una prioridad de parcheo desde que Microsoft lanzó una de las dos correcciones planeadas en agosto. La falla existe cuando un atacante crea una conexión de canal seguro Netlogon vulnerable a un controlador de dominio usando MS-NRPC. Con esto, no necesitan autenticarse para elevar los privilegios y convertirse en administradores.

TA505, que Microsoft llama Chimborazo, está distribuyendo actualizaciones falsas que conducen a la omisión de UAC y utilizando wscript (.) Exe para ejecutar código malicioso. Para aprovechar esta vulnerabilidad, los atacantes abusan de MSBuild (.) Exe para compilar Mimikatz actualizado con la funcionalidad incorporada de Microsoft, explica el equipo de inteligencia de seguridad de la compañía en un serie de tweets en su descubrimiento.

«Los ataques que aparecen en el malware de productos básicos como los utilizados por el actor de amenazas Chimborazo indican una explotación más amplia en el corto plazo», dice Microsoft, animando a los lectores a actualizar.

Esta es la segunda vez esta semana que se ve a atacantes usando Zerologon en la naturaleza. Mercury, un grupo de APT iraní también conocido como MuddyWater, Static Kitten y Seedworm, ha estado usando la vulnerabilidad en campañas activas durante las últimas dos semanas, encontró Microsoft Safety Intelligence. Mercury se ha centrado históricamente en organizaciones gubernamentales, especialmente en Oriente Medio.

Lea más detalles aquí.

Fast Hits de Dim Examining ofrece una breve sinopsis y un resumen de la importancia de las noticias de última hora. Para obtener más información de la fuente unique de la noticia, siga el enlace proporcionado en este artículo. Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia initial