El mes pasado durante el “Patch Tuesday” Microsoft abordó una de las fallas más severas reportadas por la compañía, la cual permite tomar control con suma facilidad los servidores Windows que ejecute un controlador de dominios (DC) en redes empresariales. La falla es seguida como CVE-2020-1472, posee un puntaje de severidad máxima (CVSS 10) y fue descrita oficialmente por Microsoft como una vulnerabilidad de elevación de privilegios en Netlogon, siendo este el protocolo utilizado para autenticar usuarios a través de controladores de dominio. Cabe destacar que los detalles no fueron revelados al público y recientemente es que los investigadores comenzaron a revelarlos, publicando lo peligrosa que es esta falla.
Los detalles de la hasta ahora misteriosa falla (CVE-2020-1472), son descritas en profundidad por un reporte lanzado hace pocos días por un grupo de expertos en ciberseguridad. Según ellos, la vulnerabilidad la cual nombraron Zerologon, toma ventaja de un algoritmo criptográfico débil usado durante el proceso de autenticación del protocolo Netlogon, permitiendo a un atacante manipular dicho proceso para realizar acciones maliciosas, como suplantar la identidad de cualquier computador en una red en el momento que intenta autenticarse por medio del Domain Controller, desactivar las caracteristicas de seguridad y incluso cambiar la contraseña de los computadores en el Active Directory del Domain Controller.
El motivo por el que la vulnerabilidad CVE-2020-1472 fue llamada Zerologon, es debido a que el ataque se realiza agregando caracteres con valores en 0, en unos parámetros específicos de la autenticación Netlogon, además que su explotación puede ser realizada en cuestión de pocos segundos.
Zerologon solo posee una limitación que impide le impide tomar control de los servidores Windows Domain Controller y es que requiere que el atacante realice todas sus acciones dentro de la red interna, pero si el atacante logra cumplir este requisito, podrá explotar la vulnerabilidad sin ningún impedimento (Excepto que están parcheados los servidores contra esta vulnerabilidad).
Según los expertos para los grupos de ciberdelincuentes que propagan malware y ransomware, que por lo general, se basan en infectar un dispositivo dentro de la red y propagarse hacia otras computadoras. Con Zerologon, verán esta labor como algo simple de realizar.
El parche de seguridad de Microsoft para Zerologon está actualmente disponible, el cual será el primero de dos. Este parche temporal hace que todas las funciones de seguridad de Netlogon sean obligatorias para todas las autenticaciones Netlogon, de esta forma mitiga efectivamente los ataques por medio de Zerologon. La segunda fase y versión completa del parche está pautada para febrero del 2021, para más información sobre el segundo parche, solo debe ir al reporte oficial de Microsoft.
Aunque los expertos en ciberseguridad no publicaron una prueba de concepto (PoC) de un ataque de Zerologon, ellos esperaban que empezaran a surgir eventualmente por internet a partir de la publicación de su reporte. Sus estimaciones no fueron para nada exageradas, solo pasaron pocas horas para observar varias pruebas de conceptos por internet que explican cómo explotar la vulnerabilidad y la facilidad con la que puede ser efectuada.
Se recomienda encarecidamente a los administradores parchear con la última versión disponible los servidores Windows que utilizan Domain Controller en su organización.
Fuente:
COMENTARIOS