[SECURITY-L] [RNP/CAIS Alerta #0161] Vulnerabilidade de Elevação de Privilégio do Windows Netlogon

CSIRT Unicamp security em unicamp.br
Sexta Outubro 11 11:27:18 -03 2024 

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

CAIS-Alerta [10-10-2024] Vulnerabilidade de Elevação de Privilégio do
Windows Netlogon

Prezados(as),

O CAIS alerta a comunidade de segurança cibernética sobre uma
vulnerabilidade crítica recentemente divulgada pela Microsoft no Windows
Netlogon, do tipo Escalação de Privilégios (EoP), classificada com uma
pontuação CVSSv3 de 9.

O Netlogon é um serviço do Windows que facilita a autenticação de usuários
e computadores em uma rede. Ele permite que os dispositivos se conectem e
se autentiquem em um controlador de domínio, gerenciando a troca de
credenciais e o estabelecimento de sessões seguras.

Produtos e versões afetadas;
Identificadores CVE (http://cve.mitre.org);
Descrição das vulnerabilidades;
Mitigação e correções disponíveis; e
Mais informações.

1) Produtos e versões afetadas:

Windows Server nas versões:

2012 R2
2012
2008 R2 x64, SP1 e SP2
2008 32 bits, SP2
2016
2019
2022

2) Identificadores CVE (http://cve.mitre.org):

CVE-2024-38124

3) Descrição das vulnerabilidades:

Um agente malicioso com acesso autenticado na mesma rede que um dispositivo
vulnerável pode renomear sua máquina para coincidir com o controlador de
domínio. Após essa modificação, o invasor pode potencialmente comprometer
todo o domínio ao usar um canal seguro.

4) Mitigação e correções disponíveis:

O CAIS recomenda fortemente aos administradores que atualizem seus
servidores com os pacotes disponibilizados pela Microsoft. No comunicado, a
Microsoft informa não haver soluções alternativas, mas faz algumas
recomendações: "Evitar nomes previsíveis para controladores de domínio,
assegurar validação mais rigorosa do canal seguro, monitorar renomeações de
computadores e considerar autenticação aprimorada."

5) Mais informações:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38124

O CAIS recomenda que os administradores mantenham seus sistemas e
aplicativos sempre atualizados, de acordo com as últimas versões e
correções oferecidas pelos fabricantes.

Os alertas do CAIS também podem ser acompanhados pelas redes sociais da
RNP. Siga-nos!
Twitter: @caisRNP
Facebook: facebook.com/RedeNacionaldeEnsinoePesquisaRNP.

################################################################
#   CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS)     #
#       Rede Nacional de Ensino e Pesquisa (RNP)               #
#                                                              #
# cais em cais.rnp.br       https://www.rnp.br/sistema-rnp/cais   #
# Tel. 019-37873300      Fax. 019-37873301                     #
# Chave PGP disponível   https://www.rnp.br/cais/cais-pgp.key  #
################################################################

-----BEGIN PGP SIGNATURE-----
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=/1xz
-----END PGP SIGNATURE-----
_______________________________________________
RNP-Alerta
rnp-alerta em listas.rnp.br
https://listas.rnp.br/mailman/listinfo/rnp-alerta

===
Computer Security Incident Response Team - CSIRT
Universidade Estadual de Campinas - Unicamp
Centro de Computacao - CCUEC
GnuPG Public Key: http://www.security.unicamp.br/security.asc [^]
Contato: +55 19 3521-2289 ou INOC-DBA: 1251*830
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: <http://www.listas.unicamp.br/pipermail/security-l/attachments/20241011/27322cea/attachment.html>

Mais detalhes sobre a lista de discussão SECURITY-L