6 cosas que debe saber sobre la falla de Microsoft &#39Zerologon&#39



Hasta que se actualicen todos los controladores de dominio, toda la infraestructura sigue siendo vulnerable, advierte el CISA del DHS.

Las preocupaciones sobre una vulnerabilidad crítica que Microsoft reveló en su Protocolo remoto de Windows Netlogon (MS-NRPC) en agosto aumentaron considerablemente esta semana luego de informes de atacantes que atacaban activamente la falla.

El jueves, Microsoft a través de una serie de tweets que instaba a las organizaciones a aplicar inmediatamente un parche que había emitido para el error (CVE-2020-1472), A la que muchos han comenzado a referirse como la vulnerabilidad Zerologon.

«Hemos observado ataques en los que se han incorporado exploits públicos en los libros de jugadas de los atacantes», advirtió la empresa. «Recomendamos a los clientes que apliquen inmediatamente actualizaciones de seguridad para CVE-2020-1472».

La Agencia de Seguridad de Infraestructura y Ciberseguridad del Departamento de Seguridad Nacional (CISA) aumentó el sentido de urgencia con su propia alerta instando a los administradores de TI a que parcheen todos los controladores de dominio de inmediato. La agencia lanzó un secuencia de comandos de validación de parches que dijo que las organizaciones podrían usar rápidamente para detectar controladores de dominio de Microsoft que aún necesitaban ser parcheados contra la falla.

«Hasta que se actualice cada controlador de dominio, toda la infraestructura sigue siendo vulnerable», dijo el aviso de CISA.

La alerta de CISA el jueves siguió a otra del DHS el lunes dirigente todas las agencias federales deben parchear CVE-2020-1472 a más tardar al ultimate del día 21 de septiembre.

Esto es lo que necesita saber sobre la vulnerabilidad y por qué debe abordarla de inmediato, según los expertos en seguridad.

1. ¿De qué trata exactamente la vulnerabilidad Netlogon / Zerologon?
CVE-2020-1472 es una vulnerabilidad de elevación de privilegios (escalamiento de privilegios) que existe en MS-NRPC. Netlogon es un componente de autenticación central de Microsoft Energetic Listing.

«Netlogon es un servicio proporcionado por controladores de dominio para proporcionar un canal seguro entre una computadora y el controlador de dominio», dice Luke Richards, analista consultor senior de Vectra. «Normalmente se requieren credenciales previamente establecidas u otros métodos de autenticación para que se pueda utilizar el canal».

A la falla de Netlogon / Zerologon se le ha asignado una puntuación foundation CVSS de 10, que es la máxima clasificación de gravedad posible para una falla de software program según el sistema de puntuación de vulnerabilidades ampliamente utilizado.

2. ¿Por qué hay tanta preocupación por la falla?
La falla Netlogon / Zerologon permite que un atacante no autenticado use MS-NRPC para conectarse a un controlador de dominio y obtener acceso de administrador completo, señaló Microsoft.

«La falla permite que cualquiera pueda autorizar y usar este canal con mucha facilidad, incluso desde una máquina que no sea de dominio, lo que les permite realizar muchas acciones a nivel de dominio», dice Richards.

Dustin Childs, gerente de comunicaciones de ZDI de Craze Micro, dice que no hay nada teórico sobre el error o cómo se puede explotar. «Esta vulnerabilidad podría permitir a atacantes no autenticados ejecutar código arbitrario en los controladores de dominio de Windows afectados», dice. El código se ejecutaría con privilegios elevados y permitiría a un atacante hacerse cargo por completo del controlador de dominio y, desde allí, esencialmente todo el dominio.

Como resultado, el CISA ha descrito la falla como presentando un «riesgo inaceptable» para las agencias federales y los está instando a tomar medidas de emergencia para repararlos.

3. Microsoft reveló el error en agosto. ¿Qué provocó las alertas de esta semana?
El equipo de inteligencia de amenazas de Microsoft y los investigadores de otras organizaciones han observado a los atacantes que atacan la vulnerabilidad utilizando exploits disponibles públicamente. No está claro qué tan extendida está la actividad maliciosa, o si los ataques que Microsoft informó haber observado fueron dirigidos por naturaleza. Pero el mero hecho de que los exploits estén disponibles públicamente y que los ataques hayan comenzado ha aumentado los riesgos asociados con dejar el mistake sin parchear.

El código de prueba de concepto estuvo disponible casi inmediatamente después de que Microsoft lanzó el parche y las vulnerabilidades reales comenzaron a reportarse a mediados de septiembre, dice Childs de ZDI. «En este punto, la explotación activa es algo limitada», añade. «No hay evidencia de que los atacantes estén recurriendo a un enfoque de &#39rociar y rezar&#39» para explotar la falla.

Afortunadamente, debido a que la mayoría de los controladores de dominio no son accesibles desde Net, es possible que el número de objetivos disponibles sea algo limitado, dice Child.

Pero los sistemas expuestos externamente no son el único problema. Joseph Carson, científico en jefe de seguridad y CISO asesor de Thycotic, dice que vulnerabilidades como Zerologon presentan una oportunidad perfecta para la escalada de privilegios para los delincuentes que ya podrían tener un punto de apoyo en la purple.

«El compromiso de privilegios es un problema de seguridad extremadamente grave. Debería ser una prioridad máxima parchear los sistemas vulnerables», dice. El hecho de que CISA haya emitido una alerta sugiere que algunos departamentos federales ya podrían haber sido víctimas del problema, dice Carson.

4. ¿Cuáles son las posibles consecuencias de no aplicar un parche de inmediato?
«No aplicar el parche significa que está dejando uno de sus activos más críticos desprotegido de una amenaza activa», dice Childs. «Este no es un error teórico que pueda ser aprovechado por atacantes sofisticados. Es un mistake que los actores de amenazas utilizan activamente contra las empresas».

Los atacantes que explotan con éxito la vulnerabilidad de Zerologon pueden autenticarse en el dominio como controlador de dominio y esencialmente emitirse a sí mismos un «boleto de oro», que les permitiría asignar nuevos tokens de autenticación en cualquier nivel, dice Richards de Vectra.

5. ¿El parche que Microsoft emitió en agosto abordar completamente la falla de Zerologon?
Microsoft anunció un lanzamiento de parches de dos partes cuando inicialmente reveló la falla en agosto. El primer parche, lanzado en agosto, protege contra la vulnerabilidad que se explota. Un segundo parche está programado para febrero de 2021 para hacer cumplir los inicios de sesión seguros a través de una llamada a procedimiento remoto (RPC) con Netlogon.

«Por el momento, el parche que lanzó Microsoft habilita funciones de seguridad que impiden que funcionen las vulnerabilidades de Zerologon», dice Richards. «Sin embargo, esto no soluciona los problemas subyacentes del servicio».

Childs dice que el parche actualmente disponible debe aplicarse a todos los controladores de dominio, incluidos los controladores de solo lectura, y debe crearse una clave de registro para hacer cumplir las conexiones RPC seguras. Sin embargo, hasta que el segundo parche esté disponible, el problema no se abordará por completo, dice.

«Según el propio Guia, recomendaron que los administradores de sistemas apliquen este parche y luego monitoreen los dispositivos que no cumplen, en lugar de hacer cumplir de inmediato la conexión RPC más segura «, dice.» Esta recomendación de disponibilidad sobre seguridad significa que es probable que haya sistemas parcheados todavía en un estado vulnerable «.

6. ¿Qué pueden hacer las organizaciones para mitigar el riesgo?
La única forma de estar completamente protegido contra la amenaza es identificar los controladores de dominio a los que se puede acceder a través de World-wide-web, aplicarles parches y seguir los consejos de Microsoft sobre cómo hacer cumplir las conexiones RPC seguras.

Otras recomendaciones son prestar mucha atención a los sistemas que pueden informar cuando las cuentas de usuario o los hosts se están utilizando para acceder a los servicios y objetos de crimson a los que normalmente no acceden, dice Richards.

«Por ejemplo, si a un usuario se le han otorgado credenciales de administrador de dominio, esa cuenta de usuario y ese host potencialmente accederían a servicios de pink a los que nunca antes habían accedido», dice.

Jai Vijayan es un reportero de tecnología experimentado con más de 20 años de experiencia en periodismo comercial de TI. Más recientemente, fue editor senior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia first