Rilevamento degli exploit ZeroLogon con l'intelligenza artificiale e senza firme

22 settembre 2020
Stephen Malone
Responsabile di prodotto senior
Rilevamento degli exploit ZeroLogon con l'intelligenza artificiale e senza firme

Le vulnerabilità critiche in rapida evoluzione o zero-day mettono in luce le debolezze dei prodotti di cybersecurity tradizionali che si affidano alle firme per individuare le minacce. Le firme sono utili per fornire una protezione continua contro le minacce note e storiche, ma non possono fare molto per le nuove minacce fino a quando la vulnerabilità non viene scoperta dai ricercatori di sicurezza e viene creata una nuova firma. Le vulnerabilità sfruttabili possono esistere per anni prima di essere scoperte dalla ricerca sulla sicurezza, lasciando l'utente esposto e vulnerabile. Per una vulnerabilità come ZeroLogon, data la potenza e la velocità dell'exploit, qualsiasi ritardo nella protezione potrebbe decretare la fine della vostra attività.

Vectra, tuttavia, ha un approccio fondamentalmente diverso alla sicurezza informatica. I sofisticati modelli AI/ML di Vectra sul comportamento degli aggressori sono progettati per rilevare il comportamento degli attacchi indipendentemente dagli strumenti o dalle firme specifiche utilizzate nell'attacco. Per questo motivo, i clienti Vectra AI dispongono di notevoli capacità di rilevamento delle campagne di attacco che potrebbero sfruttare questa nuova vulnerabilità, anche prima che la vulnerabilità fosse annunciata.

È stato un periodo intenso per questi prodotti di cybersicurezza tradizionali, che si sono affannati a creare firme e a fornire ai loro clienti un certo livello di protezione contro questo exploit. Queste nuove firme saranno ovviamente utili, ma per alcuni arriveranno troppo tardi e sarà solo questione di tempo prima che gli exploit cambino leggermente per aggirare queste protezioni. Negli ultimi giorni abbiamo visto molti dei nostri concorrenti (ExtraHop, CoreLight e Awake per esempio) affannarsi a rilasciare nuove firme ZeroLogon dopo la divulgazione della vulnerabilità. E prima di allora? C'era copertura? Dobbiamo credere che le vulnerabilità siano sfruttabili solo quando vengono rivelate dalla ricerca sulla sicurezza?

Modelli Vectra AI per il rilevamento ZeroLogon

Per utilizzare con successo questo exploit, l'attaccante deve trovarsi sulla rete locale. Per gli attaccanti esterni, Detect vedrebbe il comando e il controllo (C&C) dall'host compromesso sotto forma di Accesso remoto esterno, Tunnel HTTP/HTTPS/DNS nascosto o Relay sospetto. Dopo aver sfruttato la vulnerabilità (sia che si tratti di un attaccante esterno o interno), è probabile che venga visualizzato DCSync, che è coperto da RPC Targeted Recon. Una volta che l'attaccante ha ottenuto l'accesso all'amministrazione, i nostri sofisticati rilevamenti di analisi degli accessi privilegiati (PAA) coprono l'utilizzo di questo nuovo accesso. Altri modelli, come Suspicious Admin, Suspicious Remote Execution e Suspicious Remote Desktop, forniscono una copertura sul movimento laterale. RDP Recon e RPC Recon possono essere previsti quando gli aggressori esterni trovano la loro strada all'interno della rete.

Cognito Detect protegge la vostra azienda dalle minacce emergenti, zero-day e in rapida evoluzione, concentrandosi sulle cose che non cambiano, cioè sul comportamento degli aggressori, piuttosto che sulle firme che sono reattive e facilmente aggirabili.

Rilevamento ZeroLogon migliorato con la piattaforma Vectra AI

Il focus di Detect sull'individuazione dei comportamenti di attacco è un meccanismo davvero duraturo per trovare gli aggressori. La piattaforma Vectra AI integra le nostre capacità di rilevamento avanzate consentendo indagini più approfondite e la caccia alle minacce. Per quanto riguarda la vulnerabilità ZeroLogon, abbiamo pubblicato un nuovo cruscotto di Recall (NetLogon Exploit Dashboard) per darvi maggiore visibilità sui tentativi di sfruttare questa vulnerabilità all'interno della vostra rete.

Esempio di dashboard nella piattaforma Vectra AI per il monitoraggio di potenziali casi di ZeroLogon

Comprendere la vulnerabilità ZeroLogon

Recentemente è stata segnalata una CVE di massima gravità (ZeroLogon - CVE-2020-1472 - CVSS 10) che consente a un utente malintenzionato di ottenere la chiave principale della rete, le credenziali di amministratore di dominio, in modo incredibilmente rapido e semplice, senza richiedere alcun tipo di privilegio oltre alla capacità di emettere traffico verso la rete. Questa vulnerabilità è causata da un errore nel modo in cui il sistema operativo Windows Server gestisce il protocollo NetLogon RPC, che consente all'aggressore di falsificare la propria identità in un evento di reimpostazione della password e di reimpostare qualsiasi password, comprese quelle degli account macchina del controller di dominio.

Microsoft ha successivamente applicato le patch alle versioni vulnerabili di Windows Server; tutti sono invitati ad applicarle il prima possibile. Ulteriori informazioni sulla vulnerabilità sono disponibili qui, mentre le informazioni di Microsoft sulle versioni interessate e sulle patch sono disponibili qui.

Se siete pronti a cambiare il vostro approccio al rilevamento e alla risposta ai cyberattacchi e a vedere da vicino come Recall può trovare gli strumenti e gli exploit degli aggressori, programmate oggi stesso una demo con Vectra.

DOMANDE FREQUENTI

Che cos'è ZeroLogon?

ZeroLogon (CVE-2020-1472) è una vulnerabilità critica in Windows Netlogon che consente agli aggressori di ottenere l'accesso come amministratore.

Cosa rende ZeroLogon particolarmente pericoloso?

ZeroLogon è pericoloso per la sua capacità di consentire agli aggressori di ottenere le credenziali di amministrazione del dominio senza autenticazione.

Quali sono i vantaggi dell'utilizzo dell'intelligenza artificiale per il rilevamento di ZeroLogon?

L'intelligenza artificiale offre un rilevamento proattivo, tempi di risposta più rapidi e la capacità di identificare minacce nuove e in evoluzione senza firme.

In che modo ZeroLogon sfrutta Windows Server?

ZeroLogon sfrutta una falla nel protocollo Netlogon, consentendo agli aggressori di falsificare l'autenticazione e reimpostare le password.

In che modo Vectra AI supporta il rilevamento ZeroLogon?

Vectra AI supporta il rilevamento fornendo un monitoraggio e un'analisi continui dei dati del traffico di rete.

Come fa Vectra AI a rilevare gli exploit ZeroLogon?

Vectra AI utilizza modelli di apprendimento automatico per rilevare comportamenti anomali e attività di rete indicativi di exploit ZeroLogon.

Come possono le organizzazioni proteggersi da ZeroLogon?

Le organizzazioni devono applicare le patch, monitorare le attività insolite e utilizzare strumenti di rilevamento avanzati come Vectra AI.

In che modo Vectra Recall migliora il rilevamento delle minacce?

Vectra Recall consente indagini più approfondite e la caccia alle minacce, fornendo una visibilità dettagliata del traffico di rete e delle anomalie.

In che modo ZeroLogon sfrutta Windows Server?

Il rilevamento senza firma è importante perché può identificare le minacce in base al comportamento, senza basarsi su firme predefinite.

Quali sono i passi da compiere dopo aver rilevato un exploit ZeroLogon?

Dopo il rilevamento, isolare i sistemi interessati, applicare le patch, cambiare le password e condurre un'indagine approfondita per prevenire ulteriori exploit.