{"id":16049,"date":"2020-09-21T20:52:56","date_gmt":"2020-09-21T23:52:56","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=16049"},"modified":"2020-09-22T17:06:58","modified_gmt":"2020-09-22T20:06:58","slug":"cve-2020-1472-domain-controller-vulnerability","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/cve-2020-1472-domain-controller-vulnerability\/16049\/","title":{"rendered":"Vulnerabilidade Zerologon amea\u00e7a controladores de dom\u00ednio"},"content":{"rendered":"

Em agosto, na Patch Tuesday, a Microsoft fechou v\u00e1rias vulnerabilidades, entre elas a CVE-2020-1472<\/a>. A vulnerabilidade do protocolo Netlogon foi atribu\u00edda a um n\u00edvel de gravidade \u201ccr\u00edtico\u201d (sua pontua\u00e7\u00e3o CVSS foi a m\u00e1xima, 10,0). Nunca houve d\u00favidas de que isso poderia representar uma amea\u00e7a, mas o pesquisador da Secura, Tom Tervoort (que o descobriu) publicou recentemente um relat\u00f3rio detalhado<\/a> explicando porque a vulnerabilidade, conhecida como Zerologon, \u00e9 t\u00e3o perigosa e como ela pode ser usada para sequestrar um controlador de dom\u00ednio.<\/p>\n

Do que se trata a Zerologon?<\/h2>\n

Essencialmente, a CVE-2020-1472 \u00e9 o resultado de uma falha no esquema de autentica\u00e7\u00e3o criptogr\u00e1fica do protocolo remoto Netlogon. O protocolo autentica usu\u00e1rios e m\u00e1quinas em redes baseadas em dom\u00ednio e tamb\u00e9m \u00e9 usado para atualizar senhas de computador remotamente. Por meio da vulnerabilidade, um invasor pode se passar por um computador cliente e substituir a senha de um controlador de dom\u00ednio (um servidor que controla uma rede inteira e executa servi\u00e7os do Active Directory), o que permite que o invasor obtenha direitos de administrador de dom\u00ednio.<\/p>\n

Quem est\u00e1 vulner\u00e1vel?<\/h2>\n

A CVE-2020-1472 apresenta um risco para empresas cujas redes s\u00e3o baseadas em controladores de dom\u00ednio executados no Windows. Em particular, os cibercriminosos podem sequestrar um controlador de dom\u00ednio com base em qualquer vers\u00e3o do Windows Server 2019 ou Windows Server 2016, bem como qualquer edi\u00e7\u00e3o do Windows Server vers\u00e3o 1909, Windows Server vers\u00e3o 1903, Windows Server vers\u00e3o 1809 (Datacenter e edi\u00e7\u00f5es Standard), Windows Server 2012 R2, Windows Server 2012 ou Windows Server 2008 R2 Service Pack 1. Para atacar, os cibercriminosos precisariam primeiro penetrar na rede corporativa, mas isso n\u00e3o \u00e9 um problema t\u00e3o importante \u2013 ataques internos<\/a> e penetra\u00e7\u00e3o atrav\u00e9s de sa\u00eddas Ethernet<\/a> em instala\u00e7\u00f5es acess\u00edveis ao p\u00fablico dificilmente s\u00e3o sem precedentes.<\/p>\n

Felizmente, Zerologon ainda n\u00e3o foi usado em um ataque no mundo real (ou pelo menos, nenhum foi relatado). No entanto, o relat\u00f3rio do Tervoort causou um rebuli\u00e7o, provavelmente atraindo a aten\u00e7\u00e3o de cibercriminosos e, embora os pesquisadores n\u00e3o tenham publicado uma prova de conceito<\/a>, eles n\u00e3o t\u00eam d\u00favidas de que os invasores podem criar uma baseada nos patches.<\/p>\n

Como se proteger contra ataques Zerologon<\/h2>\n

A Microsoft lan\u00e7ou patches<\/a> para solucionar a vulnerabilidade de todos os sistemas afetados no in\u00edcio de agosto deste ano, ent\u00e3o, se voc\u00ea ainda n\u00e3o fez a atualiza\u00e7\u00e3o, \u00e9 hora de faz\u00ea-la. Al\u00e9m disso, a empresa recomenda monitorar todas as tentativas de login feitas por meio da vers\u00e3o vulner\u00e1vel do protocolo e identificar dispositivos que n\u00e3o suportam a nova vers\u00e3o. Idealmente, de acordo com a Microsoft, o controlador de dom\u00ednio deve ser definido para um modo em que todos os dispositivos usem a vers\u00e3o segura do Netlogon.<\/p>\n

As atualiza\u00e7\u00f5es n\u00e3o imp\u00f5em essa restri\u00e7\u00e3o, porque o protocolo remoto Netlogon n\u00e3o \u00e9 usado apenas no Windows \u2013 muitos dispositivos baseados em outros sistemas operacionais tamb\u00e9m dependem do protocolo. Se voc\u00ea tornar seu uso obrigat\u00f3rio, os dispositivos que n\u00e3o oferecem suporte \u00e0 vers\u00e3o segura n\u00e3o funcionar\u00e3o corretamente.<\/p>\n

No entanto, a partir de 9 de fevereiro de 2021, os controladores de dom\u00ednio ser\u00e3o obrigados a usar esse modo (ou seja, for\u00e7ar todos os dispositivos a usar o Netlogon seguro e atualizado), ent\u00e3o os administradores ter\u00e3o que resolver o problema de conformidade de dispositivos de terceiros com anteced\u00eancia (atualizando ou adicionando-os manualmente como exclus\u00f5es). Para obter mais informa\u00e7\u00f5es sobre o que o patch de agosto faz e o que mudar\u00e1 em fevereiro, juntamente com as diretrizes detalhadas, confira esta postagem da Microsoft<\/a>.<\/p>\n\n","protected":false},"excerpt":{"rendered":"

A vulnerabilidade CVE-2020-1472 no protocolo Netlogon, tamb\u00e9m conhecido como Zerologon, permite que invasores sequestrem o controle de dom\u00ednios.<\/p>\n","protected":false},"author":2581,"featured_media":16050,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1119,1655],"tags":[1185,1673,22,267],"class_list":{"0":"post-16049","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"tag-business","10":"tag-cve","11":"tag-microsoft","12":"tag-vulnerabilidades"},"hreflang":[{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/cve-2020-1472-domain-controller-vulnerability\/16049\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/cve-2020-1472-domain-controller-vulnerability\/21903\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/cve-2020-1472-domain-controller-vulnerability\/17377\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/cve-2020-1472-domain-controller-vulnerability\/23294\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/cve-2020-1472-domain-controller-vulnerability\/21486\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/cve-2020-1472-domain-controller-vulnerability\/20106\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/cve-2020-1472-domain-controller-vulnerability\/23898\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/cve-2020-1472-domain-controller-vulnerability\/22837\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/cve-2020-1472-domain-controller-vulnerability\/29085\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/cve-2020-1472-domain-controller-vulnerability\/8828\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/cve-2020-1472-domain-controller-vulnerability\/37048\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/cve-2020-1472-domain-controller-vulnerability\/15680\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/cve-2020-1472-domain-controller-vulnerability\/13982\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/cve-2020-1472-domain-controller-vulnerability\/25178\/"},{"hreflang":"zh","url":"https:\/\/www.kaspersky.com.cn\/blog\/cve-2020-1472-domain-controller-vulnerability\/11985\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/cve-2020-1472-domain-controller-vulnerability\/29235\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/cve-2020-1472-domain-controller-vulnerability\/26096\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/cve-2020-1472-domain-controller-vulnerability\/22875\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/cve-2020-1472-domain-controller-vulnerability\/28197\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/cve-2020-1472-domain-controller-vulnerability\/28029\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.com.br\/blog\/tag\/business\/","name":"Business"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/16049","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/users\/2581"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/comments?post=16049"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/16049\/revisions"}],"predecessor-version":[{"id":16052,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/16049\/revisions\/16052"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media\/16050"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media?parent=16049"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/categories?post=16049"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/tags?post=16049"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}