Falha grave no Windows permitia acesso de administrador a hackers

Desenvolvido pela Secura, exploit pode permitir que intrusos tornem-se administradores do computador; Microsoft diz já ter corrigido o erro
Da Redação15/09/2020 19h25, atualizada em 15/09/2020 23h20

20200915071203

Compartilhe esta matéria

Ícone Whatsapp Ícone Whatsapp Ícone X (Tweeter) Ícone Facebook Ícone Linkedin Ícone Telegram Ícone Email

Pesquisadores da empresa Secura desenvolveram um exploit que se aproveita de uma falha descoberta após uma recente atualização do Windows. O método permite acesso aos controladores de domínio do Active Directory (AD). O Active Directory é uma ferramenta da Microsoft para o gerenciamento dos usuários de rede e esses controladores atuam como “porteiros” para as máquinas conectadas a ela.

Conhecida como CVE-2020-1472, a vulnerabilidade é classificada como severamente crítica pela Microsoft e tem nota máxima no ranking da Common Vulnerability Scoring System(CVSS), iniciativa pública para classificar e qualificar ameaças e vulnerabilidades em sistemas de computadores. Para a técnica funcionar, o agressor já deve ter uma base dentro do sistema, seja como um insider sem privilégios ou através do comprometimento de um dispositivo conectado.

Essas novas formas de ataque aos computadores utilizando esses exploits têm se tornado comuns entre os hackers, pois dão muito menos trabalho e reduzem o tempo de invasão. Garantir acesso a itens valiosos no computador hackeado ou conseguir o mínimo de brecha para instalar malwares ou comandos pode demorar semanas ou meses, mesmo depois que o alvo clicar no link ou abrir o email infectado. Com o novo exploit chamado de Zeralogon, o acesso é instantâneo.

scanrail/iStock

Hackers se beneficiam de brechas no sistema de criptografia do Windows para invadir o servidor. Créditos: scanrail/iStock

Uma nova forma de hackear

Desenvolvido pelos pesquisadores da companhia de segurança digital Secura, o novo Zeralogon permite acesso instantâneo do Active Directory, deixando os hackers livres para realizarem o que bem entenderem. Segundo o artigo publicado pelos pesquisadores, o exploit “basicamente permite que qualquer agressor na rede local (tanto um insider malicioso ou alguém que simplesmente plugou um aparelho em alguma porta de rede local) comprometa completamente o domínio do Windows. O ataque é completamente não autenticado: o agressor não precisa de nenhuma credencial do usuário.”

Ainda segundo eles, o exploit funciona de maneira confiável, mas devido ao alto risco, não vão disponibilizá-lo até que uma grande parte de servidores já tenham recebido o pacote de atualizações da Microsoft. Porém, eles alertam que não é difícil usar a atualização de forma reversa e desenvolver o exploit. No Twitter, alguns perfis já demonstravam que o método realmente funcionava.

imaginima/Istock

Brecha se estabelece baseada na comunicação entre servidores da  e o computador. Créditos: imaginima/iStock

Como funciona?

O Zerolog funciona enviando uma sequência de zeros em uma série de mensagens que usam o protocolo Netlogon, usado pelos servidores do Windows para diversas tarefas, entre elas permitir que os usuários finais façam login em uma rede. Pessoas sem autorização podem usar o exploit para ganhar domínio das credenciais administrativas, contanto que os agressores tenham a habilidade de estabelecer conexões TCP com o controlador de domínio vulnerável.

A vulnerabilidade se baseia no uso do AES-CFB8 pelo Windows, ou simplesmente usando um chyper feedback com um sistema de criptografia baseado no AES. Para funcionar, o sistema AES-CFB8 precisa que os vetores de inicialização sejam únicos e gerados de forma aleatória a cada mensagem. O Windows falhou em observar este requisito e o Zerologon explora essa omissão mandando mensagens com zero colocados em lugares cuidadosamente selecionados.

A divulgação da descoberta chamou a atenção de diversos usuários no Twitter e até da Agência de Segurança Cibernética e Segurança de Infraestrutura dos EUA (CISA). Enquanto alguns usuários da rede social se assustavam com a facilidade de se conseguir usar o exploit na brecha de segurança da Microsoft, a CISA divulgou uma nota pedindo para que usuários e administradores revisem o aviso de segurança de agosto da Microsoft e façam as atualizações necessárias.

Depois de notificada pela Secura, em nota, a Microsoft afirmou que uma atualização foi lançada em agosto de 2020 e os consumidores que atualizaram seus computadores já estão protegidos.

Fonte: ArsTechnica

Colaboração para o Olhar Digital

Da Redação é colaboração para o olhar digital no Olhar Digital