Ataques que aprovechan la vulnerabilidad de Netlogon (CVE-2020-1472) – Centro de respuesta de seguridad de Microsoft

Microsoft ha recibido una pequeña cantidad de informes de clientes y otras personas sobre la actividad continua que explota una vulnerabilidad que afecta al protocolo Netlogon (CVE-2020-1472) Que se abordó anteriormente en las actualizaciones de seguridad a partir del 11 de agosto de 2020. Si no se aplica la guía initial, la vulnerabilidad podría permitir a un atacante falsificar una cuenta de controlador de dominio que podría usarse para robar credenciales de dominio y hacerse cargo del dominio.

La implementación de la actualización de seguridad del 11 de agosto de 2020 o una versión posterior en cada controlador de dominio es el primer paso más crítico para abordar esta vulnerabilidad. Una vez implementado por completo, el controlador de dominio de Active Listing y las cuentas de confianza estarán protegidas junto con las cuentas de máquina unidas al dominio de Windows. Recomendamos encarecidamente a cualquier persona que no haya aplicado la actualización que dé este paso ahora. Los clientes deben aplicar la actualización y seguir la guía authentic como se describe en KB4557222 para asegurarse de que estén completamente protegidos de esta vulnerabilidad. Hemos actualizado el Preguntas frecuentes en esa guía authentic de agosto para proporcionar mayor claridad.

  • ACTUALIZAR sus controladores de dominio con una actualización publicada el 11 de agosto de 2020 o posterior.
  • ENCONTRAR qué dispositivos están haciendo conexiones vulnerables al monitorear los registros de eventos.
  • HABLA A Dispositivos no compatibles que hacen conexiones vulnerables.
  • HABILITAR modo de aplicación para abordar CVE-2020-1472 en su entorno.

Organizaciones que despliegan Microsoft Defender para la identidad (anteriormente Azure Sophisticated Menace Defense) o Defensor de Microsoft 365 (anteriormente Microsoft Threat Security) son capaces de detectar adversarios mientras intentan explotar esta vulnerabilidad específica contra sus controladores de dominio.

Finalmente, hemos enfatizado nuestra orientación previa a las agencias gubernamentales relevantes. Por ejemplo, contactamos a la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) que ha emitió una alerta adicional recordar a las agencias estatales y locales, incluidas las que participan en las elecciones estadounidenses, sobre la aplicación de los pasos necesarios para abordar esta vulnerabilidad.

Aanchal Gupta
Vicepresidente de Ingeniería, MSRC



Fuente del articulo