Detección de exploits ZeroLogon con IA y sin firmas

22 de septiembre de 2020
Stephen Malone
Director de Producto
Detección de exploits ZeroLogon con IA y sin firmas

Las vulnerabilidades críticas o de día cero, que evolucionan con rapidez, ponen de manifiesto los puntos débiles de los productos de ciberseguridad heredados que se basan en firmas para hacer frente a las amenazas. Las firmas son útiles para proporcionar una protección continua contra las amenazas conocidas e históricas, pero no pueden hacer mucho contra las nuevas amenazas hasta que los investigadores de seguridad encuentran la vulnerabilidad y se crea una nueva firma. Las vulnerabilidades explotables pueden existir durante años antes de ser descubiertas por los investigadores de seguridad, dejándole expuesto y vulnerable. En el caso de una vulnerabilidad como ZeroLogon, dada la potencia y velocidad del exploit, cualquier retraso en la protección podría suponer el fin de su negocio.

Sin embargo, Vectra tiene un enfoque fundamentalmente diferente de la ciberseguridad. Los sofisticados modelos AI/ML de comportamiento del atacante de Vectra están diseñados para detectar el comportamiento del ataque independientemente de las herramientas o firmas específicas utilizadas en el ataque. De este modo, los clientes de Vectra AI tienen importantes capacidades de detección de campañas de ataque que podrían aprovechar esta nueva vulnerabilidad, incluso antes de que se anunciara la vulnerabilidad.

Ha sido una época muy ajetreada para estos productos de ciberseguridad heredados, ya que se apresuran a crear firmas y ofrecer a sus clientes algún nivel de protección contra este exploit. Esas nuevas firmas ayudarán, por supuesto, pero para algunos llegarán demasiado tarde, y es sólo cuestión de tiempo que los exploits cambien ligeramente para eludir estas protecciones. En los últimos días hemos visto cómo muchos de nuestros competidores (ExtraHop, CoreLight y Awake, por ejemplo) se apresuraban a lanzar nuevas firmas ZeroLogon tras la revelación de la vulnerabilidad. ¿Y antes de eso? ¿Hubo alguna cobertura? ¿Debemos creer que las vulnerabilidades sólo son explotables cuando son reveladas por la investigación de seguridad?

Modelos Vectra AI de Vectra AI para la detección de ZeroLogon

Para utilizar con éxito este exploit, el atacante necesita estar en la red local. Para atacantes externos, Detect vería comando y control (C&C ) desde el host comprometido en forma de Acceso Remoto Externo, Túnel HTTP/HTTPS/DNS Oculto, o Suspicious Relay. Después de explotar la vulnerabilidad (ya sea un atacante externo o interno) probablemente veríamos DCSync, que está cubierto por RPC Targeted Recon. Una vez que el atacante obtiene acceso de administrador, nuestras sofisticadas detecciones de análisis de acceso privilegiado (PAA ) cubren el uso de este nuevo acceso. Otros modelos como Suspicious Admin, Suspicious Remote Execution y Suspicious Remote Desktop también proporcionan cobertura sobre el movimiento lateral. RDP Recon y RPC Recon podrían esperarse a medida que los atacantes externos encuentran su camino por la red.

Cognito Detect protege a su empresa de las amenazas emergentes, zero-day y de rápida evolución, centrándose en las cosas que no cambian, es decir, el comportamiento de los atacantes, en lugar de firmas que son reactivas y fáciles de eludir.

Detección ZeroLogon mejorada con la plataforma Vectra AI

El enfoque de Detect en la búsqueda de comportamientos de ataque es un mecanismo verdaderamente duradero para encontrar atacantes. La plataforma Vectra AI complementa nuestras capacidades avanzadas de detección permitiendo investigaciones más profundas y caza de amenazas. Para la vulnerabilidad ZeroLogon, hemos publicado un nuevo panel de Recall (NetLogon Exploit Dashboard) para ofrecerle más visibilidad sobre los intentos de aprovechar esta vulnerabilidad en su red.

Ejemplo de panel de control en la plataforma Vectra AI para el seguimiento de posibles casos de ZeroLogon

Vulnerabilidad ZeroLogon

Recientemente se ha informado de una CVE de máxima gravedad (ZeroLogon - CVE-2020-1472 - CVSS 10) que permite a un atacante hacerse con la llave maestra de su red, las credenciales de Administrador de Dominio, de forma increíblemente rápida y sencilla sin requerir ningún tipo de privilegio más allá de la capacidad de emitir tráfico a su red. Esta vulnerabilidad está causada por un fallo en la forma en que Windows Server OS gestiona el protocolo NetLogon RPC que permite al atacante falsificar su identidad en un evento de restablecimiento de contraseña y restablecer cualquier contraseña, incluidas las de las cuentas de máquina del controlador de dominio.

Desde entonces, Microsoft ha parcheado las versiones vulnerables de Windows Server; se recomienda a todo el mundo que aplique estos parches lo antes posible. Puede encontrar más información sobre la vulnerabilidad aquí, así como información de Microsoft sobre las versiones afectadas y los parches aquí.

Si está listo para cambiar su enfoque de la detección y respuesta a los ciberataques, y para conocer más de cerca cómo Recall puede encontrar herramientas y exploits de atacantes, programe una demostración con Vectra hoy mismo.

Preguntas frecuentes

¿Qué es ZeroLogon?

ZeroLogon (CVE-2020-1472) es una vulnerabilidad crítica en Windows Netlogon que permite a los atacantes obtener acceso de administrador.

¿Qué hace que ZeroLogon sea especialmente peligroso?

ZeroLogon es peligroso debido a su capacidad para permitir a los atacantes obtener credenciales de administrador de dominio sin autenticación.

¿Cuáles son las ventajas de utilizar la IA para la detección de ZeroLogon?

La IA proporciona detección proactiva, tiempos de respuesta más rápidos y la capacidad de identificar amenazas nuevas y en evolución sin firmas.

¿Cómo aprovecha ZeroLogon Windows Server?

ZeroLogon aprovecha un fallo en el protocolo Netlogon, lo que permite a los atacantes falsificar la autenticación y restablecer las contraseñas.

¿Cómo soporta Vectra AI AI la detección de ZeroLogon?

Vectra AI ayuda a la detección mediante la supervisión y el análisis continuos de los datos de tráfico de la red.

¿Cómo detecta Vectra AI los exploits ZeroLogon?

Vectra AI utiliza modelos de aprendizaje automático para detectar comportamientos anómalos y actividad en la red indicativos de exploits ZeroLogon.

¿Cómo pueden protegerse las organizaciones contra ZeroLogon?

Las organizaciones deben aplicar parches, vigilar la actividad inusual y utilizar herramientas de detección avanzadas como Vectra AI.

¿Cómo mejora Vectra Recall la detección de amenazas?

Vectra Recall permite profundizar en la investigación y la caza de amenazas al proporcionar una visibilidad detallada del tráfico y las anomalías de la red.

¿Cómo aprovecha ZeroLogon Windows Server?

La detección sin firmas es importante porque puede identificar las amenazas basándose en el comportamiento, sin depender de firmas predefinidas.

¿Qué medidas deben tomarse tras detectar un exploit ZeroLogon?

Tras la detección, aísle los sistemas afectados, aplique parches, cambie las contraseñas y lleve a cabo una investigación exhaustiva para evitar nuevos exploits.