-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

Prezados,

CAIS-Alerta [05/11/2020]:Múltiplas vulnerabilidades críticas em plataformas

O CAIS alerta para vulnerabilidades críticas em múltiplas plataformas sabidamente utilizadas de modo amplo por diversas organizações, cuja exploração pode resultar na execução de códigos remotos, infecção por ransomwares, entre outros incidentes graves. Já foram publicados códigos de exploração para as vulnerabilidades identificadas.


DESCRIÇÃO

Seguem abaixo listadas as vulnerabilidades existentes, relacionada às respectivas plataformas:

 - - Microsoft Windows
 - - Elevação de privilégio (CVE-2020-1472)
Conhecida como "Zerologon", uma falha no esquema de autenticação principal do protocolo remoto Netlogon (Microsoft Windows Netlogon Remote Protocol, MS-NRPC) do serviço Active Directory pode permitir a manipulação do esquema criptográfico, alterando a identidade de um computador ao realizar autenticação em um controlador de domínio e estabelecendo um canal de conexão com privilégios administrativos totais. A exploração desta vulnerabilidade pode permitir que um usuário malicioso realize ações graves tais como: alterar a conta administrativa do serviço Active Directory, criar novas contas administrativas e alterar credenciais de usuários administradores de domínio, executar comandos remotos e softwares maliciosos em qualquer computador de rede controlado pelo domínio, podendo, inclusive, causar infecção massiva por ransomware na rede.

 - -VMWare
Execução remota de código (CVE-2020-3992)
Uma falha no gerenciamento de memória do serviço Common Information Model (CIM) do VMWare pode permitir o acesso incorreto a determinado espaço alocado após o seu uso (user-after-free). A exploração desta vulnerabilidade pode permitir que um usuário malicioso que tenha acesso à rede de gerenciamento e ao protocolo OpenSLP, porta TCP/427, realize a execução de códigos com os privilégios administrativos em um host ESXi e hosts virtuais hospedados, podendo, inclusive, causar infecção massiva por ransomware.

Execução remota de código (CVE-2019-5544)
Uma falha no gerenciamento da pilha da memória do serviço Common Information Model (CIM) do VMWare pode permitir a sobrescrita de dados incorretamente no espaço alocado. A exploração dessa vulnerabilidade pode permitir que um usuário malicioso que tenha acesso à rede de gerenciamento e ao protocolo OpenSLP, porta TCP/427, realize a execução de códigos com privilégios administrativos em um host ESXi e hosts virtuais hospedados, podendo, inclusive, causar infecção massiva por ransomware.


SISTEMAS IMPACTADOS

Sistemas Operacionais Microsoft Windows
Plataforma de virtualização VMWare


VERSÕES AFETADAS

Windows Server 2008 R2 (todas as versões)
Windows Server 2008 R2 Service Pack 1 (todas as versões)
Windows Server 2012 (todas as versões)
Windows Server 2012 R2 (todas as versões)
Windows Server 2016 (todas as versões)
Windows Server 2019 (todas as versões)
Windows Server versão 1809 Standard
Windows Server versão 1809 Datacenter
Windows Server versão 1903
Windows Server versão 1909
Windows Server versão 2004

VMWare ESXi 6.0
VMWare ESXi 6.5
VMWare ESXi 6.7
VMWare ESXi 7.0
VMware Cloud Foundation ESXi 3.X
VMware Cloud Foundation ESXi 4.X


CORREÇÕES DISPONÍVEIS

CVE-2020-1472
Aplicar a atualização KB4571702 de 11 de agosto de 2020.

CVE-2019-5544
Executar os patches de correção disponibilizados pela VMWare:
 - - Para versões ESXi 6.7, aplicar o patch ESXi670-201912001.
 - - Para versões ESXi 6.5, aplicar o patch ESXi650-201912001.
 - - Para versões ESXi 6.5, aplicar o patch ESXi600-201912001.
 - - Para versões Horizon DaaS 8.x, atualizar para a versão 9.0

CVE-2020-3992
Executar os patches de correção disponibilizados pela VMWare:
 - - Para versões ESXi 7.0, aplicar o patch ESXi670-ESXi70U1a-17119627.
 - - Para versões ESXi 6.7, aplicar o patch ESXi670-202011301-SG.
 - - Para versões ESXi 6.5, aplicar o patch ESXi650-202011401-SG.
 - - Para versões ESXi 6.5, aplicar o patch ESXi600-201903001.

Para versões VMware Cloud Foundation ESXi 3.X e 4.X, não há patches de correção até o momento da publicação deste alerta.
Como solução de contorno, é necessário desabilitar o serviço OpenSLP através da interface de comando [13https://nvd.nist.gov/vuln/detail/CVE-2020-3992].


IDENTIFICADORES CVE (http://cve.mitre.org)

CVE-2020-1472
CVE-2020-3992
CVE-2019-5544


MAIS INFORMAÇÕES

[1] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-1472
[2] https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2020-1472
[3] https://support.microsoft.com/pt-br/help/4557222/how-to-manage-the-changes-in-netlogon-secure-channel-connections-assoc
[4] https://www.kb.cert.org/vuls/id/490028
[5] https://www.secura.com/pathtoimg.php?id=2055
[6] https://medium.com/cycraft/the-exploit-window-is-open-253770261710
[7] https://danieldonda.com/2020/09/30/explorando-o-zerologon-cve-2020-1472/
[8] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-5519
[9] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-3992
[10] https://www.vmware.com/security/advisories/VMSA-2019-0022.html
[11] https://nvd.nist.gov/vuln/detail/CVE-2020-3992
[12] https://www.vmware.com/security/advisories/VMSA-2020-0023.html
[13] https://kb.vmware.com/s/article/76372


O CAIS recomenda que os administradores mantenham seus sistemas e aplicativos sempre atualizados, de acordo com as últimas versões e correções oferecidas pelos fabricantes.

Os alertas do CAIS também podem ser acompanhados pelas redes sociais da RNP. Siga-nos!
Twitter: @caisRNP
Facebook: facebook.com/RedeNacionaldeEnsinoePesquisaRNP.

Atenciosamente,

CAIS/RNP

################################################################
#   CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS)     #
#       Rede Nacional de Ensino e Pesquisa (RNP)               #
#                                                              #
# cais@cais.rnp.br       http://www.rnp.br/servicos/seguranca  #
# Tel. 019-37873300      Fax. 019-37873301                     #
# Chave PGP disponivel   https://www.cais.rnp.br/cais-pgp.key  #
################################################################
-----BEGIN PGP SIGNATURE-----
Version: OpenPGP.js v2.6.2
Comment: https://openpgpjs.org
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=bY6C
-----END PGP SIGNATURE-----
_______________________________________________
RNP-Alerta
rnp-alerta@listas.rnp.br
https://listas.rnp.br/mailman/listinfo/rnp-alerta