– El miércoles pasado (23/09), Microsoft advirtió que hay partes que no son responsables de explotar agujeros de seguridad o explotar errores en el sistema de Windows Server. El acto de explotar los errores permitió a los piratas informáticos obtener acceso a la clave de la red central de la empresa.
La advertencia lanzada por Microsoft, solo dos días después de que el gobierno de los Estados Unidos anunciara lo mismo, y pidiera a las agencias y organismos federales que actualicen sus sistemas de seguridad.
La Agencia de Infraestructura y Seguridad Cibernética (CSIA) en su directiva solicitó que el exploit, con nombre en código CVE-2020-1472, denominado Zerologon, se obtenga en un futuro cercano, dado que el exploit podría estar circulando en línea.
Las últimas noticias llegaron anoche, donde Microsoft publicó una carga en Twitter que actualmente está rastreando el paradero de alguien que se considera el autor de la explotación del código de explotación de Zerologon.
“Hemos observado una serie de ataques, donde este código de explotación también se ha compartido en foros de piratería. Recomendamos encarecidamente que los usuarios apliquen actualizaciones de seguridad a sus sistemas Windows Server de inmediato”, dijo Microsoft.
Microsoft está rastreando activamente la actividad de los actores de amenazas utilizando exploits para la vulnerabilidad CVE-2020-1472 Netlogon EoP, denominada Zerologon. Hemos observado ataques en los que se han incorporado exploits públicos en los libros de jugadas de los atacantes.
– Inteligencia de seguridad de Microsoft (@MsftSecIntel) 24 de septiembre de 2020
Microsoft mismo lanzó una solución para el error de Zerologon en agosto pasado. Pero para las empresas, suele llevar más tiempo aplicar la actualización. Porque también deben asegurarse de que las actualizaciones de corrección de seguridad no interfieran con su sistema y causen nuevos problemas.
CVE-2020-1472 recibió la calificación crítica más alta en el historial de códigos de explotación de Microsoft, lo que significa que los piratas informáticos pueden ingresar con poca o ninguna intervención del usuario. Se sabe que este error existe en casi todas las versiones de Windows Server, incluidos Server 2008 a Server 2019.
Se han subido varias muestras del código de explotación CVE-2020-1472 a VirusTotal, un servicio propiedad de Google que puede buscar archivos maliciosos, con el nombre ‘Sharpzerologon.exe’.
“Con la capacidad de entrar y los derechos de acceso generales en la red del servidor de Windows, no es sorprendente que muchos casos estén o ya estén disponibles. Con una difusión tan amplia, es muy probable que esta técnica se convierta en una nueva técnica de piratería popular entre los piratas informáticos en el futuro”, dijo Scott Caveza, gerente de ingeniería de investigación de Tenable.
