Les vulnérabilités critiques à évolution rapide ou "zero-days" révèlent les faiblesses des produits de cybersécurité existants qui s'appuient sur des signatures pour identifier les menaces. Les signatures sont utiles pour assurer une protection continue contre les menaces connues et historiques, mais ne peuvent pas faire grand-chose pour les nouvelles menaces jusqu'à ce que la vulnérabilité soit découverte par les chercheurs en sécurité et qu'une nouvelle signature soit créée. Les vulnérabilités exploitables peuvent exister pendant des années avant d'être découvertes par la recherche en sécurité, ce qui vous expose et vous rend vulnérable. Dans le cas d'une vulnérabilité telle que ZeroLogon, compte tenu de la puissance et de la rapidité de l'exploit, tout retard dans la protection peut entraîner la fin de votre entreprise.
Vectra a cependant une approche fondamentalement différente de la cybersécurité. Les modèles sophistiqués d'IA/ML de Vectra sont conçus pour détecter le comportement des attaquants, quels que soient les outils ou les signatures spécifiques utilisés dans l'attaque. Ainsi, les clients de Vectra AI disposent d'importantes capacités de détection des campagnes d'attaque susceptibles d'exploiter cette nouvelle vulnérabilité, et ce avant même qu'elle ne soit annoncée.
Les produits de cybersécurité existants ont été très sollicités pour créer des signatures et offrir à leurs clients un certain niveau de protection contre cet exploit. Ces nouvelles signatures seront utiles, bien sûr, mais pour certains, elles arriveront trop tard, et ce n'est qu'une question de temps avant que les exploits ne changent légèrement pour contourner ces protections. Ces derniers jours, nous avons vu nombre de nos concurrents (ExtraHop, CoreLight et Awake par exemple) se précipiter pour publier de nouvelles signatures ZeroLogon après la divulgation de la vulnérabilité. Qu'en était-il avant cela ? Y a-t-il eu une couverture ? Devons-nous croire que les vulnérabilités ne sont exploitables que lorsqu'elles sont révélées par la recherche en matière de sécurité ?
Vectra AIModèles /ML pour la détection de ZeroLogon
Pour réussir cet exploit, l'attaquant doit se trouver sur le réseau local. Pour les attaquants externes, Detect verrait le commandement et le contrôle (C&C) de l'hôte compromis sous la forme d'un accès à distance externe, d'un tunnel HTTP/HTTPS/DNS caché ou d'un relais suspect. Après avoir exploité la vulnérabilité (qu'il s'agisse d'un attaquant externe ou interne), nous verrions probablement DCSync, qui est couvert par RPC Targeted Recon. Une fois que l'attaquant a obtenu un accès administrateur, nos détections sophistiquées d'analyse d'accès privilégié (PAA) couvrent l'utilisation de ce nouvel accès. D'autres modèles tels que Suspicious Admin, Suspicious Remote Execution et Suspicious Remote Desktop couvrent également les mouvements latéraux. On peut s'attendre à ce que RDP Recon et RPC Recon soient détectés lorsque des attaquants externes se frayent un chemin dans le réseau.
Cognito Detect protège votre entreprise contre les menaces émergentes, de type " zero-day " et à évolution rapide en se concentrant sur les éléments qui ne changent pas, c'est-à-dire le comportement des attaquants, plutôt que sur les signatures qui sont réactives et facilement contournables.
Détection ZeroLogon améliorée avec la plateforme Vectra AI
L'accent mis par Detect sur la recherche des comportements d'attaque est un mécanisme vraiment durable pour trouver les attaquants. La plateforme Vectra AI complète nos capacités de détection avancées en permettant des investigations plus approfondies et la chasse aux menaces. Pour la vulnérabilité ZeroLogon, nous avons publié un nouveau tableau de bord Recall (NetLogon Exploit Dashboard) pour vous donner plus de visibilité sur les tentatives d'exploitation de cette vulnérabilité au sein de votre réseau.
Comprendre la vulnérabilité ZeroLogon
Une CVE de gravité maximale (ZeroLogon - CVE-2020-1472 - CVSS 10) a récemment été signalée. Elle permet à un attaquant d'obtenir la clé principale de votre réseau, les informations d'identification de l'administrateur de domaine, de manière incroyablement rapide et facile sans avoir besoin d'un quelconque privilège au-delà de la capacité d'émettre du trafic vers votre réseau. Cette vulnérabilité est due à une faille dans la manière dont le système d'exploitation Windows Server gère le protocole NetLogon RPC, ce qui permet à l'attaquant d'usurper son identité lors d'une réinitialisation de mot de passe et de réinitialiser n'importe quel mot de passe, y compris ceux des comptes de machines des contrôleurs de domaine.
Microsoft a depuis apporté des correctifs aux versions vulnérables de Windows Server ; tout le monde est encouragé à appliquer ces correctifs dès que possible. De plus amples informations sur la vulnérabilité sont disponibles ici et des informations de Microsoft sur les versions concernées et les informations sur les correctifs sont disponibles ici.
Si vous êtes prêt à changer votre approche de la détection et de la réponse aux cyberattaques, et à voir de plus près comment Recall peut trouver les outils et les exploits des attaquants, planifiez une démonstration avec Vectra dès aujourd'hui.