Home Ciberguerra APT vinculada a Irán está explotando el fallo de Zerologon en los...

APT vinculada a Irán está explotando el fallo de Zerologon en los ataques

Microsoft publicó un post y una serie de tweets para advertir de ataques cibernéticos que explotan la vulnerabilidad de Zerologon realizados por el grupo APT vinculado a Irán conocido como MuddyWater, alias Mercurio.

La vulnerabilidad de Zerologon, rastreada como CVE-2020-1472, es una elevación del privilegio que reside en el Netlogon. El servicio de Netlogon es un mecanismo de autentificación utilizado en la Arquitectura de Autentificación de Clientes de Windows que verifica las solicitudes de inicio de sesión y registra, autentifica y localiza los Controladores de Dominio.

Un atacante podría explotar la vulnerabilidad para hacerse pasar por cualquier ordenador, incluido el propio controlador de dominio, y ejecutar llamadas de procedimientos remotos en su nombre.

También, podría explotar la falla para deshabilitar las características de seguridad en el proceso de autenticación de Netlogon y cambiar la contraseña de un ordenador en el Directorio Activo del controlador de dominio.

La única limitación para llevar a cabo un ataque Zerologon es que el atacante debe tener acceso a la red objetivo.

Según el Centro de Inteligencia de Amenazas de Microsoft (MSTIC) los ataques que explotan esta vulnerabilidad surgieron desde el 13 de septiembre.

Microsoft relacionó los ataques con el grupo de ciberespionaje iraní MERCURY, también conocido como MuddyWater, SeedWorm y TEMP.Zagros.

La primera campaña de MuddyWater se observó a finales de 2017 cuando se dirigió a entidades del Oriente Medio.

Los expertos denominaron a la campaña “MuddyWater” debido a la confusión en la atribución de una ola de ataques que tuvo lugar entre febrero y octubre de 2017 contra entidades de Arabia Saudita, los Emiratos Árabes Unidos, los Estados Unidos, el Iraq, Israel, Georgia, la India, el Pakistán y Turquía hasta la fecha.

Los atacantes de MuddyWater comenzaron alrededor de una semana después de que se publicara el primer código de prueba de concepto, y Microsoft comenzó a detectar los primeros intentos de explotación de Zerologon.

En ese momento, el CISA del Departamento de Seguridad Nacional emitió una directiva de emergencia para ordenar a las agencias gubernamentales que abordaran la vulnerabilidad de Zerologon (CVE-2020-1472) para el lunes 21 de septiembre.