“Zerologon” e o valor do virtual patching

Um novo CVE foi lançado recentemente e ganhou várias manchetes

 

Um novo CVE foi lançado recentemente e ganhou bastante atenção na mídia: o CVE-2020-1472. O Zerologon, como é chamado, pode permitir que um invasor tire vantagem do algoritmo criptográfico usado no processo de autenticação do Netlogon e falsifique a identidade de qualquer computador ao tentar autenticar no controlador de domínio.

Para simplificar, esta vulnerabilidade no Netlogon Remote Protocol (MS-NRPC) pode permitir que invasores executem suas aplicações em um dispositivo na rede. Um invasor não autenticado usaria MS-NRPC com o intuito de se conectar a um controlador de domínio (Domain Controller – DC) e obter acesso administrativo.

De acordo com Dustin Childs, da Zero Day Initiative (ZDI), “O pior é que não há uma solução completa disponível. Este patch permite que os DCs protejam os dispositivos, mas um segundo patch atualmente previsto para o primeiro trimestre de 2021 impõe a Chamada de Procedimento Remoto (RPC) segura com Netlogon para resolver totalmente esse bug. Depois de aplicar este patch, você ainda precisará fazer alterações em seu DC. A Microsoft publicou diretrizes a fim de ajudar os administradores a escolher as configurações corretas.”

 

Mas se há um patch, por que isso é um grande problema?

Você pode estar pensando: “Bem, se já existe um patch, isso realmente não é um problema”. Mas a ideia de “apenas corrigir” não é tão fácil quanto parece. Confira este post (também de Childs e do ZDI) para obter mais informações sobre as barreiras para corrigir.

O tempo médio de correção (MTTP) é de 60 a 150 dias. Este CVE foi publicado no início de agosto, de modo que o tempo médio para implementação deste patch seria entre outubro de 2020 e janeiro de 2021.

Talvez você já tenha ouvido a piada da indústria de segurança que, após a Patch Tuesday, vem o Exploit Wednesday. Essa é a maneira cômica de sugerir que, após um lote de patches para novos CVEs serem lançados na primeira terça-feira de cada mês pela Microsoft e Adobe, os invasores começam a trabalhar revertendo os patches para escrever exploits e tirar proveito dos bugs antes que os patches sejam aplicados.

Dado o MTTP, são 2 a 5 meses que sua organização fica exposta a uma ameaça conhecida.

Então, o que posso fazer para proteger minha organização?

Felizmente, como um cliente da Trend Micro, temos a cobertura de patches virtuais. Isso fornece uma camada extra de segurança para proteção contra vulnerabilidades antes de aplicar o patch oficial do fornecedor. Como o nome sugere, é como um patch pois protege especificamente seu ambiente caso alguém tente explorar essa vulnerabilidade.

Os patches virtuais podem ser uma rede de segurança crítica para permitir que você faça os patches de uma maneira que funcione para sua organização.

Com a Trend Micro, você está protegido contra o Zerologon e milhares de outras vulnerabilidades com o virtual patching que protege você como parte do seu processo de gerenciamento de patch, porque nós o protegemos além deste CVE.

Graças ao ZDI, nossos clientes estão protegidos 81 dias antes de um patch ser lançado pelo fabricante (dados de 2019). “Como isso é possível?”, você pode perguntar. É muito simples: quando uma vulnerabilidade é enviada ao ZDI, nossa equipe começa a trabalhar para adicionar proteção contra essa vulnerabilidade não corrigida.

Para saber mais sobre a proteção da Trend Micro para CVE-2020-1472, leia nosso artigo da base de conhecimento aqui.