{"id":17212,"date":"2021-03-25T13:14:18","date_gmt":"2021-03-25T16:14:18","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=17212"},"modified":"2021-03-25T13:19:27","modified_gmt":"2021-03-25T16:19:27","slug":"zerologon-threat-mdr","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/zerologon-threat-mdr\/17212\/","title":{"rendered":"Como se proteger contra o Zerologon e malware semelhantes"},"content":{"rendered":"<p>Em setembro do ano passado, a Ag\u00eancia de Seguran\u00e7a de Infraestrutura e Ciberseguran\u00e7a dos Estados Unidos (CISA, sigla em ingl\u00eas), que raramente emite diretivas sobre vulnerabilidades espec\u00edficas, instruiu ag\u00eancias governamentais que usam o Diret\u00f3rio Ativo (Active Directory) do Microsoft Windows em suas redes para atualizar e corrigir todos os controladores de dom\u00ednio imediatamente. O alerta foi sobre a vulnerabilidade CVE-2020-1472 no protocolo Netlogon, apelidado de Zerologon.<\/p>\n<h2>10.0 na escala de perigo<\/h2>\n<p>A <a href=\"https:\/\/www.kaspersky.com\/blog\/cve-2020-1472-domain-controller-vulnerability\/37048\/\" target=\"_blank\" rel=\"noopener nofollow\">vulnerabilidade Zerologon<\/a> vem de um algoritmo criptogr\u00e1fico n\u00e3o confi\u00e1vel no mecanismo de autentica\u00e7\u00e3o Netlogon. Ela permite que um invasor que se conectou \u00e0 rede corporativa ou infectou um computador nela ataque e, por fim, assuma o controle de um controlador de dom\u00ednio.<\/p>\n<p>A vulnerabilidade pontua o valor m\u00e1ximo da escala CVSSv3, 10.0. A Microsoft lan\u00e7ou um patch de atualiza\u00e7\u00e3o em agosto, mas foi um estudo aprofundado da empresa holandesa de ciberseguran\u00e7a Secura que chamou a aten\u00e7\u00e3o para o Zerologon e como pode ser explorado.<\/p>\n<p>Poucas horas ap\u00f3s o lan\u00e7amento do documento, os pesquisadores come\u00e7aram a publicar suas pr\u00f3prias provas de conceito (<a href=\"https:\/\/encyclopedia.kaspersky.com\/glossary\/poc-proof-of-concept\/\" target=\"_blank\" rel=\"noopener\">proofs of concept<\/a>\u2013 PoC em ingl\u00eas). Em alguns dias, pelo menos quatro amostras de c\u00f3digo-fonte aberto estavam dispon\u00edveis no GitHub, demonstrando como a vulnerabilidade poderia ser realmente usada.<\/p>\n<h2>Zerologon em ataques reais<\/h2>\n<p>\u00c9 claro que as PoCs dispon\u00edveis publicamente atra\u00edram a aten\u00e7\u00e3o n\u00e3o apenas de especialistas em seguran\u00e7a da informa\u00e7\u00e3o, mas tamb\u00e9m de cibercriminosos \u2013 que apenas precisavam cortar e colar o c\u00f3digo em seu malware. Por exemplo, no in\u00edcio de outubro, a Microsoft <a href=\"https:\/\/twitter.com\/MsftSecIntel\/status\/1313598440719355904\" target=\"_blank\" rel=\"noopener nofollow\">relatou<\/a> tentativas do grupo TA505 de explorar o Zerologon. Os cibercriminosos disfar\u00e7aram o malware como uma atualiza\u00e7\u00e3o de software e compilaram ferramentas de ataque em computadores infectados para explorar a vulnerabilidade.<\/p>\n<p>Outro grupo, o respons\u00e1vel pelo ransomware Ryuk, usou o Zerologon para infectar toda a rede local de uma empresa em apenas <a href=\"https:\/\/threatpost.com\/ryuk-ransomware-gang-zerologon-lightning-attack\/160286\/\" target=\"_blank\" rel=\"noopener nofollow\">cinco horas<\/a>. Depois de enviar a um funcion\u00e1rio um e-mail de phishing padr\u00e3o, os golpistas esperaram que ele fosse acessado e o computador infectado, e ent\u00e3o usaram o Zerologon para se mover lateralmente pela rede, distribuindo um ransomware execut\u00e1vel para todos os servidores e esta\u00e7\u00f5es de trabalho.<\/p>\n<h2>Por que Zerologon \u00e9 perigoso<\/h2>\n<p>Acreditava-se que o ataque Zerologon precisaria de uma invas\u00e3o a um controlador de dom\u00ednio de dentro da rede local. Na verdade, por\u00e9m, os cibercriminosos h\u00e1 muito tempo s\u00e3o capazes de superar esse obst\u00e1culo usando v\u00e1rios m\u00e9todos para sequestrar um computador na rede. Isso inclui o uso de <a href=\"https:\/\/www.kaspersky.com.br\/blog\/secure-futures-magazine\/worlds-most-phished-country\/16360\/\" target=\"_blank\" rel=\"noopener\">phishing<\/a>, ataques \u00e0 cadeia de suprimentos e at\u00e9 mesmo tomadas de rede aut\u00f4nomas em \u00e1reas de escrit\u00f3rio para visitantes. Um perigo adicional vem de conex\u00f5es remotas (que quase todas as empresas usam atualmente) \u2013 especialmente se os funcion\u00e1rios s\u00e3o capazes de se conectar a recursos corporativos de seus pr\u00f3prios dispositivos.<\/p>\n<p>O principal problema com o Zerologon (e outras vulnerabilidades hipot\u00e9ticas desse tipo) \u00e9 que seu ataque parece uma troca de dados padr\u00e3o entre um computador na rede e um controlador de dom\u00ednio; apenas a intensidade incomum pode levantar suspeitas. Dessa forma, as empresas que dependem exclusivamente de solu\u00e7\u00f5es de seguran\u00e7a de endpoint t\u00eam poucas chances de detectar esses ataques.<\/p>\n<p>A tarefa de lidar com anomalias desse tipo \u00e9 melhor deixada para servi\u00e7os especializados, como o Kaspersky Managed Detection and Response (MDR). Na verdade, \u00e9 um centro de seguran\u00e7a externo com profundo conhecimento das t\u00e1ticas dos cibercriminosos, fornecendo recomenda\u00e7\u00f5es pr\u00e1ticas detalhadas ao cliente.<\/p>\n<p>A solu\u00e7\u00e3o tem dois n\u00edveis: MDR otimizado e MDR especialista. Assim que os detalhes do Zerologon foram publicados, os especialistas do Kaspersky SOC come\u00e7aram a rastrear as tentativas de explorar a vulnerabilidade dentro do servi\u00e7o MDR, garantindo que ambas as vers\u00f5es do Kaspersky Managed Detection and Response possam combater essa amea\u00e7a.<\/p>\n<p>O Kaspersky Managed Detection and Response faz parte do <a href=\"https:\/\/go.kaspersky.com\/optimum\" target=\"_blank\" rel=\"noopener nofollow\">Kaspersky Optimum Security<\/a>. Para saber mais sobre a solu\u00e7\u00e3o, consulte a p\u00e1gina <a href=\"https:\/\/www.kaspersky.com.br\/enterprise-security\/managed-detection-and-response?icid=br_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">Kaspersky MDR<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Para impedir todas as amea\u00e7as \u00e0 infraestrutura corporativa, voc\u00ea deve fazer mais do que apenas proteger as esta\u00e7\u00f5es de trabalho.<\/p>\n","protected":false},"author":2581,"featured_media":17213,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1260,1119,1655],"tags":[2695,1185,240],"class_list":{"0":"post-17212","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-business","9":"category-enterprise","10":"tag-acesso-nao-autorizado","11":"tag-business","12":"tag-vulnerabilidade"},"hreflang":[{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/zerologon-threat-mdr\/17212\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/zerologon-threat-mdr\/22621\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/zerologon-threat-mdr\/18114\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/zerologon-threat-mdr\/8993\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/zerologon-threat-mdr\/22433\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/zerologon-threat-mdr\/21467\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/zerologon-threat-mdr\/24926\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/zerologon-threat-mdr\/24178\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/zerologon-threat-mdr\/30359\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/zerologon-threat-mdr\/9440\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/zerologon-threat-mdr\/39026\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/zerologon-threat-mdr\/16565\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/zerologon-threat-mdr\/26376\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/zerologon-threat-mdr\/23721\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/zerologon-threat-mdr\/29001\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/zerologon-threat-mdr\/28803\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.com.br\/blog\/tag\/business\/","name":"Business"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/17212","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/users\/2581"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/comments?post=17212"}],"version-history":[{"count":1,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/17212\/revisions"}],"predecessor-version":[{"id":17214,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/17212\/revisions\/17214"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media\/17213"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media?parent=17212"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/categories?post=17212"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/tags?post=17212"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}