fbpx

CAIS alerta: Ataque massivo de Ransomware

Share on facebook
Share on google
Share on twitter
Share on linkedin
Ataque massivo de Ransomware.

Este é um e-mail do Centro de Atendimento a Incidentes de Segurança (CAIS) da RNP para as Equipes de Tratamento e Resposta a Incidentes em Redes Computacionais (ETIR) das instituições vinculadas:

Prezados,

O CAIS informa para um recente ataque massivo de ransomware, que afetou sistemas Vmware e Windows, cifrando arquivos de discos rígidos, dispositivos móveis e unidades de rede de computadores e servidores a várias organizações públicas, com a  possibilidade da ameaça se estender às organizações de ensino superior no Brasil.

A sua instituição hospeda o serviço de Conferência Web, solicitamos que as validações e atualizações necessárias para prevenção ataque sejam realizadas.

Descrição das vulnerabilidades:

  • Microsoft Windows
    Elevação de privilégio (CVE-2020-1472) https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2020-1472
    Conhecida como “Zerologon”, uma falha no esquema de autenticação principal do protocolo remoto Netlogon (Microsoft Windows Netlogon Remote Protocol, MS-NRPC) do serviço Active Directory pode permitir a manipulação do esquema criptográfico, alterando a identidade de um computador ao realizar autenticação em um controlador de domínio e estabelecendo um canal de conexão com privilégios administrativos totais. A exploração desta vulnerabilidade pode permitir que um usuário malicioso realize ações graves tais como: alterar a conta administrativa do serviço Active Directory, criar novas contas administrativas e alterar credenciais de usuários administradores de domínio, executar comandos remotos e softwares maliciosos em qualquer computador de rede controlado pelo domínio, podendo, inclusive, causar infecção massiva por ransomware na rede.
  • VMWare
    Execução remota de código (CVE-2020-3992) https://www.vmware.com/security/advisories/VMSA-2020-0023.html
    Uma falha no gerenciamento de memória do serviço Common Information Model (CIM) do VMWare pode permitir o acesso incorreto a determinado espaço alocado após o seu uso (user-after-free). A exploração desta vulnerabilidade pode permitir que um usuário malicioso que tenha acesso à rede de gerenciamento e ao protocolo OpenSLP, porta TCP/427, realize a execução de códigos com os privilégios administrativos em um host ESXi e hosts virtuais hospedados, podendo, inclusive, causar infecção massiva por ransomware.

Execução remota de código (CVE-2019-5544) https://www.vmware.com/security/advisories/VMSA-2019-0022.html
Uma falha no gerenciamento da pilha da memória do serviço Common Information Model (CIM) do VMWare pode permitir a sobrescrita de dados incorretamente no espaço alocado. A exploração dessa vulnerabilidade pode permitir que um usuário malicioso que tenha acesso à rede de gerenciamento e ao protocolo OpenSLP, porta TCP/427, realize a execução de códigos com privilégios administrativos em um host ESXi e hosts virtuais hospedados, podendo, inclusive, causar infecção massiva por ransomware.

SISTEMAS IMPACTADOS

 – Sistemas Operacionais Microsoft Windows
 – Plataforma de virtualização VMWare

VERSÕES AFETADAS

Windows Server 2008 R2 (todas as versões)
Windows Server 2008 R2 Service Pack 1 (todas as versões)
Windows Server 2012 (todas as versões)
Windows Server 2012 R2 (todas as versões)
Windows Server 2016 (todas as versões)
Windows Server 2019 (todas as versões)
Windows Server versão 1809 Standard
Windows Server versão 1809 Datacenter
Windows Server versão 1903
Windows Server versão 1909
Windows Server versão 2004

VMWare ESXi 6.0
VMWare ESXi 6.5
VMWare ESXi 6.7
VMWare ESXi 7.0
VMware Cloud Foundation ESXi 3.X
VMware Cloud Foundation ESXi 4.X

CORREÇÕES DISPONÍVEIS

CVE-2020-1472
Aplicar a atualização KB4571702 de 11 de agosto de 2020.

CVE-2019-5544
Executar os patches de correção disponibilizados pela VMWare:

  • Para versões ESXi 6.7, aplicar o patch ESXi670-201912001.
  • Para versões ESXi 6.5, aplicar o patch ESXi650-201912001.
  • Para versões ESXi 6.5, aplicar o patch ESXi600-201912001.
  • Para versões Horizon DaaS 8.x, atualizar para a versão 9.0

CVE-2020-3992
Executar os patches de correção disponibilizados pela VMWare:

  • Para versões ESXi 7.0, aplicar o patch ESXi670-ESXi70U1a-17119627.
  • Para versões ESXi 6.7, aplicar o patch ESXi670-202011301-SG.
  • Para versões ESXi 6.5, aplicar o patch ESXi650-202011401-SG.
  • Para versões ESXi 6.5, aplicar o patch ESXi600-201903001.

Para versões VMware Cloud Foundation ESXi 3.X e 4.X, não há patches de correção até o momento da publicação deste alerta.
Como solução de contorno, é necessário desabilitar o serviço OpenSLP através da interface de comando [13https://nvd.nist.gov/vuln/detail/CVE-2020-3992].

IDENTIFICADORES CVE (http://cve.mitre.org)

CVE-2020-1472
CVE-2020-3992
CVE-2019-5544

MAIS INFORMAÇÕES

[1] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-1472
[2] https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2020-1472
[3] https://support.microsoft.com/pt-br/help/4557222/how-to-manage-the-changes-in-netlogon-secure-channel-connections-assoc
[4] https://www.kb.cert.org/vuls/id/490028
[5] https://www.secura.com/pathtoimg.php?id=2055
[6] https://medium.com/cycraft/the-exploit-window-is-open-253770261710
[7] https://danieldonda.com/2020/09/30/explorando-o-zerologon-cve-2020-1472/
[8] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-5519
[9] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-3992
[10] https://www.vmware.com/security/advisories/VMSA-2019-0022.html
[11] https://nvd.nist.gov/vuln/detail/CVE-2020-3992
[12] https://www.vmware.com/security/advisories/VMSA-2020-0023.html
[13] https://kb.vmware.com/s/article/76372

O CAIS recomenda que os administradores mantenham seus sistemas e aplicativos sempre atualizados, de acordo com as últimas versões e correções oferecidas pelos fabricantes.

Fonte: Microsoft

Entre em contato com nosso time e reduza os custos da empresa!

Ligue: (85) 3254.3014

Deixa aqui o seu comentário

Últimas notícias e dicas