Le vulnerabilità critiche in rapida evoluzione o zero-day mettono in luce le debolezze dei prodotti di cybersecurity tradizionali che si affidano alle firme per individuare le minacce. Le firme sono utili per fornire una protezione continua contro le minacce note e storiche, ma non possono fare molto per le nuove minacce fino a quando la vulnerabilità non viene scoperta dai ricercatori di sicurezza e viene creata una nuova firma. Le vulnerabilità sfruttabili possono esistere per anni prima di essere scoperte dalla ricerca sulla sicurezza, lasciando l'utente esposto e vulnerabile. Per una vulnerabilità come ZeroLogon, data la potenza e la velocità dell'exploit, qualsiasi ritardo nella protezione potrebbe decretare la fine della vostra attività.
Vectra, tuttavia, ha un approccio fondamentalmente diverso alla sicurezza informatica. I sofisticati modelli AI/ML di Vectra sul comportamento degli aggressori sono progettati per rilevare il comportamento degli attacchi indipendentemente dagli strumenti o dalle firme specifiche utilizzate nell'attacco. Per questo motivo, i clienti Vectra AI dispongono di notevoli capacità di rilevamento delle campagne di attacco che potrebbero sfruttare questa nuova vulnerabilità, anche prima che la vulnerabilità fosse annunciata.
È stato un periodo intenso per questi prodotti di cybersicurezza tradizionali, che si sono affannati a creare firme e a fornire ai loro clienti un certo livello di protezione contro questo exploit. Queste nuove firme saranno ovviamente utili, ma per alcuni arriveranno troppo tardi e sarà solo questione di tempo prima che gli exploit cambino leggermente per aggirare queste protezioni. Negli ultimi giorni abbiamo visto molti dei nostri concorrenti (ExtraHop, CoreLight e Awake per esempio) affannarsi a rilasciare nuove firme ZeroLogon dopo la divulgazione della vulnerabilità. E prima di allora? C'era copertura? Dobbiamo credere che le vulnerabilità siano sfruttabili solo quando vengono rivelate dalla ricerca sulla sicurezza?
Modelli Vectra AI per il rilevamento ZeroLogon
Per utilizzare con successo questo exploit, l'attaccante deve trovarsi sulla rete locale. Per gli attaccanti esterni, Detect vedrebbe il comando e il controllo (C&C) dall'host compromesso sotto forma di Accesso remoto esterno, Tunnel HTTP/HTTPS/DNS nascosto o Relay sospetto. Dopo aver sfruttato la vulnerabilità (sia che si tratti di un attaccante esterno o interno), è probabile che venga visualizzato DCSync, che è coperto da RPC Targeted Recon. Una volta che l'attaccante ha ottenuto l'accesso all'amministrazione, i nostri sofisticati rilevamenti di analisi degli accessi privilegiati (PAA) coprono l'utilizzo di questo nuovo accesso. Altri modelli, come Suspicious Admin, Suspicious Remote Execution e Suspicious Remote Desktop, forniscono una copertura sul movimento laterale. RDP Recon e RPC Recon possono essere previsti quando gli aggressori esterni trovano la loro strada all'interno della rete.
Cognito Detect protegge la vostra azienda dalle minacce emergenti, zero-day e in rapida evoluzione, concentrandosi sulle cose che non cambiano, cioè sul comportamento degli aggressori, piuttosto che sulle firme che sono reattive e facilmente aggirabili.
Rilevamento ZeroLogon migliorato con la piattaforma Vectra AI
Il focus di Detect sull'individuazione dei comportamenti di attacco è un meccanismo davvero duraturo per trovare gli aggressori. La piattaforma Vectra AI integra le nostre capacità di rilevamento avanzate consentendo indagini più approfondite e la caccia alle minacce. Per quanto riguarda la vulnerabilità ZeroLogon, abbiamo pubblicato un nuovo cruscotto di Recall (NetLogon Exploit Dashboard) per darvi maggiore visibilità sui tentativi di sfruttare questa vulnerabilità all'interno della vostra rete.

Comprendere la vulnerabilità ZeroLogon
Recentemente è stata segnalata una CVE di massima gravità (ZeroLogon - CVE-2020-1472 - CVSS 10) che consente a un utente malintenzionato di ottenere la chiave principale della rete, le credenziali di amministratore di dominio, in modo incredibilmente rapido e semplice, senza richiedere alcun tipo di privilegio oltre alla capacità di emettere traffico verso la rete. Questa vulnerabilità è causata da un errore nel modo in cui il sistema operativo Windows Server gestisce il protocollo NetLogon RPC, che consente all'aggressore di falsificare la propria identità in un evento di reimpostazione della password e di reimpostare qualsiasi password, comprese quelle degli account macchina del controller di dominio.
Microsoft ha successivamente applicato le patch alle versioni vulnerabili di Windows Server; tutti sono invitati ad applicarle il prima possibile. Ulteriori informazioni sulla vulnerabilità sono disponibili qui, mentre le informazioni di Microsoft sulle versioni interessate e sulle patch sono disponibili qui.
Se siete pronti a cambiare il vostro approccio al rilevamento e alla risposta ai cyberattacchi e a vedere da vicino come Recall può trovare gli strumenti e gli exploit degli aggressori, programmate oggi stesso una demo con Vectra.