Las vulnerabilidades críticas o de día cero, que evolucionan con rapidez, ponen de manifiesto los puntos débiles de los productos de ciberseguridad heredados que se basan en firmas para hacer frente a las amenazas. Las firmas son útiles para proporcionar una protección continua contra las amenazas conocidas e históricas, pero no pueden hacer mucho contra las nuevas amenazas hasta que los investigadores de seguridad encuentran la vulnerabilidad y se crea una nueva firma. Las vulnerabilidades explotables pueden existir durante años antes de ser descubiertas por los investigadores de seguridad, dejándole expuesto y vulnerable. En el caso de una vulnerabilidad como ZeroLogon, dada la potencia y velocidad del exploit, cualquier retraso en la protección podría suponer el fin de su negocio.
Sin embargo, Vectra tiene un enfoque fundamentalmente diferente de la ciberseguridad. Los sofisticados modelos AI/ML de comportamiento del atacante de Vectra están diseñados para detectar el comportamiento del ataque independientemente de las herramientas o firmas específicas utilizadas en el ataque. De este modo, los clientes de Vectra AI tienen importantes capacidades de detección de campañas de ataque que podrían aprovechar esta nueva vulnerabilidad, incluso antes de que se anunciara la vulnerabilidad.
Ha sido una época muy ajetreada para estos productos de ciberseguridad heredados, ya que se apresuran a crear firmas y ofrecer a sus clientes algún nivel de protección contra este exploit. Esas nuevas firmas ayudarán, por supuesto, pero para algunos llegarán demasiado tarde, y es sólo cuestión de tiempo que los exploits cambien ligeramente para eludir estas protecciones. En los últimos días hemos visto cómo muchos de nuestros competidores (ExtraHop, CoreLight y Awake, por ejemplo) se apresuraban a lanzar nuevas firmas ZeroLogon tras la revelación de la vulnerabilidad. ¿Y antes de eso? ¿Hubo alguna cobertura? ¿Debemos creer que las vulnerabilidades sólo son explotables cuando son reveladas por la investigación de seguridad?
Modelos Vectra AI de Vectra AI para la detección de ZeroLogon
Para utilizar con éxito este exploit, el atacante necesita estar en la red local. Para atacantes externos, Detect vería comando y control (C&C ) desde el host comprometido en forma de Acceso Remoto Externo, Túnel HTTP/HTTPS/DNS Oculto, o Suspicious Relay. Después de explotar la vulnerabilidad (ya sea un atacante externo o interno) probablemente veríamos DCSync, que está cubierto por RPC Targeted Recon. Una vez que el atacante obtiene acceso de administrador, nuestras sofisticadas detecciones de análisis de acceso privilegiado (PAA ) cubren el uso de este nuevo acceso. Otros modelos como Suspicious Admin, Suspicious Remote Execution y Suspicious Remote Desktop también proporcionan cobertura sobre el movimiento lateral. RDP Recon y RPC Recon podrían esperarse a medida que los atacantes externos encuentran su camino por la red.
Cognito Detect protege a su empresa de las amenazas emergentes, zero-day y de rápida evolución, centrándose en las cosas que no cambian, es decir, el comportamiento de los atacantes, en lugar de firmas que son reactivas y fáciles de eludir.
Detección ZeroLogon mejorada con la plataforma Vectra AI
El enfoque de Detect en la búsqueda de comportamientos de ataque es un mecanismo verdaderamente duradero para encontrar atacantes. La plataforma Vectra AI complementa nuestras capacidades avanzadas de detección permitiendo investigaciones más profundas y caza de amenazas. Para la vulnerabilidad ZeroLogon, hemos publicado un nuevo panel de Recall (NetLogon Exploit Dashboard) para ofrecerle más visibilidad sobre los intentos de aprovechar esta vulnerabilidad en su red.

Vulnerabilidad ZeroLogon
Recientemente se ha informado de una CVE de máxima gravedad (ZeroLogon - CVE-2020-1472 - CVSS 10) que permite a un atacante hacerse con la llave maestra de su red, las credenciales de Administrador de Dominio, de forma increíblemente rápida y sencilla sin requerir ningún tipo de privilegio más allá de la capacidad de emitir tráfico a su red. Esta vulnerabilidad está causada por un fallo en la forma en que Windows Server OS gestiona el protocolo NetLogon RPC que permite al atacante falsificar su identidad en un evento de restablecimiento de contraseña y restablecer cualquier contraseña, incluidas las de las cuentas de máquina del controlador de dominio.
Desde entonces, Microsoft ha parcheado las versiones vulnerables de Windows Server; se recomienda a todo el mundo que aplique estos parches lo antes posible. Puede encontrar más información sobre la vulnerabilidad aquí, así como información de Microsoft sobre las versiones afectadas y los parches aquí.
Si está listo para cambiar su enfoque de la detección y respuesta a los ciberataques, y para conocer más de cerca cómo Recall puede encontrar herramientas y exploits de atacantes, programe una demostración con Vectra hoy mismo.