Artigos



Alerta de Segurança – RANSOMWARE

Prezados,

A XLOGIC informa que um recente ataque massivo de ransomware, que afetou sistemas VMWARE e WINDOWS, cifrando arquivos de discos rígidos, dispositivos móveis e unidades de rede de computadores e servidores de várias organizações públicas, com a  possibilidade da ameaça se estender às organizações de ensino superior no Brasil.

Se a sua empresa hospeda o serviço na WEB, solicitamos que verifique as atualizações necessárias para prevenção ataque estejam realizadas.

Descrição das vulnerabilidades:

  • Microsoft Windows
    Elevação de privilégio (CVE-2020-1472) https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2020-1472
    Conhecida como “Zerologon”, uma falha no esquema de autenticação principal do protocolo remoto Netlogon (Microsoft Windows Netlogon Remote Protocol, MS-NRPC) do serviço Active Directory pode permitir a manipulação do esquema criptográfico, alterando a identidade de um computador ao realizar autenticação em um controlador de domínio e estabelecendo um canal de conexão com privilégios administrativos totais. A exploração desta vulnerabilidade pode permitir que um usuário malicioso realize ações graves tais como: alterar a conta administrativa do serviço Active Directory, criar novas contas administrativas e alterar credenciais de usuários administradores de domínio, executar comandos remotos e softwares maliciosos em qualquer computador de rede controlado pelo domínio, podendo, inclusive, causar infecção massiva por ransomware na rede.
  • VMWare
    Execução remota de código (CVE-2020-3992) https://www.vmware.com/security/advisories/VMSA-2020-0023.html
    Uma falha no gerenciamento de memória do serviço Common Information Model (CIM) do VMWare pode permitir o acesso incorreto a determinado espaço alocado após o seu uso (user-after-free). A exploração desta vulnerabilidade pode permitir que um usuário malicioso que tenha acesso à rede de gerenciamento e ao protocolo OpenSLP, porta TCP/427, realize a execução de códigos com os privilégios administrativos em um host ESXi e hosts virtuais hospedados, podendo, inclusive, causar infecção massiva por ransomware.

Execução remota de código (CVE-2019-5544) https://www.vmware.com/security/advisories/VMSA-2019-0022.html
Uma falha no gerenciamento da pilha da memória do serviço Common Information Model (CIM) do VMWare pode permitir a sobrescrita de dados incorretamente no espaço alocado. A exploração dessa vulnerabilidade pode permitir que um usuário malicioso que tenha acesso à rede de gerenciamento e ao protocolo OpenSLP, porta TCP/427, realize a execução de códigos com privilégios administrativos em um host ESXi e hosts virtuais hospedados, podendo, inclusive, causar infecção massiva por ransomware.

SISTEMAS IMPACTADOS

 – Sistemas Operacionais Microsoft Windows
 – Plataforma de virtualização VMWare

VERSÕES AFETADAS

Windows Server 2008 R2 (todas as versões)
Windows Server 2008 R2 Service Pack 1 (todas as versões)
Windows Server 2012 (todas as versões)
Windows Server 2012 R2 (todas as versões)
Windows Server 2016 (todas as versões)
Windows Server 2019 (todas as versões)
Windows Server versão 1809 Standard
Windows Server versão 1809 Datacenter
Windows Server versão 1903
Windows Server versão 1909
Windows Server versão 2004

VMWare ESXi 6.0
VMWare ESXi 6.5
VMWare ESXi 6.7
VMWare ESXi 7.0
VMware Cloud Foundation ESXi 3.X
VMware Cloud Foundation ESXi 4.X

CORREÇÕES DISPONÍVEIS

CVE-2020-1472
Aplicar a atualização KB4571702 de 11 de agosto de 2020.

CVE-2019-5544
Executar os patches de correção disponibilizados pela VMWare:

  • Para versões ESXi 6.7, aplicar o patch ESXi670-201912001.
  • Para versões ESXi 6.5, aplicar o patch ESXi650-201912001.
  • Para versões ESXi 6.5, aplicar o patch ESXi600-201912001.
  • Para versões Horizon DaaS 8.x, atualizar para a versão 9.0

CVE-2020-3992
Executar os patches de correção disponibilizados pela VMWare:

  • Para versões ESXi 7.0, aplicar o patch ESXi670-ESXi70U1a-17119627.
  • Para versões ESXi 6.7, aplicar o patch ESXi670-202011301-SG.
  • Para versões ESXi 6.5, aplicar o patch ESXi650-202011401-SG.
  • Para versões ESXi 6.5, aplicar o patch ESXi600-201903001.

Para versões VMware Cloud Foundation ESXi 3.X e 4.X, não há patches de correção até o momento da publicação deste alerta.
Como solução de contorno, é necessário desabilitar o serviço OpenSLP através da interface de comando [13https://nvd.nist.gov/vuln/detail/CVE-2020-3992].

IDENTIFICADORES CVE (http://cve.mitre.org)

CVE-2020-1472
CVE-2020-3992
CVE-2019-5544

MAIS INFORMAÇÕES

[1] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-1472
[2] https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2020-1472
[3] https://support.microsoft.com/pt-br/help/4557222/how-to-manage-the-changes-in-netlogon-secure-channel-connections-assoc
[4] https://www.kb.cert.org/vuls/id/490028
[5] https://www.secura.com/pathtoimg.php?id=2055
[6] https://medium.com/cycraft/the-exploit-window-is-open-253770261710
[7] https://danieldonda.com/2020/09/30/explorando-o-zerologon-cve-2020-1472/
[8] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-5519
[9] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-3992
[10] https://www.vmware.com/security/advisories/VMSA-2019-0022.html
[11] https://nvd.nist.gov/vuln/detail/CVE-2020-3992
[12] https://www.vmware.com/security/advisories/VMSA-2020-0023.html
[13] https://kb.vmware.com/s/article/76372

Recomendamos que os administradores mantenham seus sistemas e aplicativos sempre atualizados, de acordo com as últimas versões e correções oferecidas pelos fabricantes.

Atenciosamente,

Time de Segurança XLOGIC





Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Parceiros

Av. Dom João VI, 11, Edf. Seta Empresarial, 2º Andar, Brotas | Cep: 40.285-000 | Salvador - Bahia - Brasil
Tel.: 71 3018-7381 / 3018-7381 www.xlogic.com.br - sac@xlogic.com.br

XLOGIC. © 2020. Todos os direitos reservados.