Zerologon: Su explotación permite convertirse instantáneamente en administrador de dominio

15 Septiembre 2020
Crítico

Cada mes, Microsoft tiene la rutina de publicar sus actualizaciones según un proceso conocido como "Patch Tuesday". Estas actualizaciones, son paquetes acumulativos que abordan las fallas de seguridad evidenciadas en sus servicios por lo que es casi indiscutible la importancia de instalar actualizaciones para apuntalar fallas importantes y mitigar los ataques.

Cuando llega un Patch Tuesday, Microsoft detalla todas las vulnerabilidades de seguridad que corrige. Sin embargo, en líneas generales no se profundizan mayores detalles, tenemos el hábito de actualizar para corregir los fallos, ignorando algunas veces el alcance y criticidad que suponen. Este es el caso de una vulnerabilidad informada en agosto de 2020, denominada ZeroLogon.

A un mes de la divulgación pública de Microsoft respecto a una vulnerabilidad crítica de elevación de privilegios en el Netlogon Remote Protocol (MS-NRPC), se han evidenciado exploits que permitirían su explotación lo cual pone en alerta a las organizaciones que aún no han efectuado su proceso de parchado.

El día lunes 7 de septiembre, los investigadores de la firma de seguridad holandesa Secura B.V., quienes encontraron y revelaron la falla a Microsoft, publicaron nuevos detalles técnicos y solo unas horas después se publicaron variadas PoC de su explotabilidad en diversas plataformas.

Zerologon puede ser uno de los errores más peligrosos con los que se haya enfrentado Microsoft. Su explotación, permitiría a los atacantes tomar fácilmente el control de los servidores de Windows. Es una falla de elevación de privilegios que se encuentra en Netlogon, un proceso de Microsoft que autentica a los usuarios frente a los controladores de dominio.
 

Detalles de la Vulnerabilidad:

  • La vulnerabilidad es conocida como ZeroLogon, debido a la ausencia total de autenticación a la hora de explotarla
  • Identificador: CVE-2020-1472
  • CVSSv3.1: Crítica con puntuación de 10.0, (alcanzando el máximo permitido por esta escala)
  • Forma de explotación: A través de la red interna
  • Complejidad para su explotación: Media
  • Nivel de Autenticación: El ataque no necesita ninguna credencial de usuario para explotarla
     

CVE-2020-1472 afecta a todas las versiones compatibles de Windows Server, pero el peligro es mayor para los servidores que funcionan como controladores de dominio (DC) del directorio activo (AD) en redes empresariales. Debido a una falla en la implementación criptográfica del protocolo Netlogon, específicamente en el uso del cifrado AES-CFB8, es posible establecer una nueva contraseña en el DC. De este modo, un atacante podría utilizar esa nueva contraseña para tomar el control completo del DC y capturar las credenciales de un usuario administrador del dominio.

Los investigadores de Secura, explicaron:

Simplemente enviando una serie de mensajes de Netlogon en los que varios campos se llenan con ceros, un atacante puede cambiar la contraseña de la computadora del controlador de dominio que está almacenado en el AD. Esto se puede utilizar para obtener las credenciales de administrador del dominio y luego restaurar la contraseña original de DC”.

Este ataque tiene un gran impacto: básicamente permite que cualquier atacante en la red local (como un interno malintencionado o alguien que simplemente conectó un dispositivo a un puerto de red local) comprometa completamente el dominio de Windows. Para su explotación, el ataque no necesita ninguna credencial de usuario".


Netlogon Remote Protocol

Es gestionado a través de una interfaz RPC (Remote Procedure Call), disponible en los controladores de dominio de Windows. Este protocolo se utiliza para diversas tareas relacionadas con la autenticación de usuarios y máquinas, más comúnmente para facilitar que los usuarios inicien sesión en servidores utilizando el protocolo NTLM. Netlogon utiliza un protocolo criptográfico personalizado para permitir que un cliente, es decir, un equipo unido a un dominio, y un servidor, es decir, el controlador de dominio certifiquen entre sí que ambos conocen un secreto compartido, el cual es un hash de la contraseña de la cuenta del equipo del cliente.

 

Remediación

Los sistemas que recibieron el parche lanzado en agosto, no serían susceptibles a la explotación de ZeroLogon, ya que el parche modifica el registro para implementar el protocolo "NRPC seguro" para todos los servidores y clientes de Windows en el dominio. Es importante entender que todos los controladores de dominio de Active Directory deben actualizarse, incluidos los controladores de dominio de solo lectura.

Microsoft explica: Las actualizaciones permitirán a los controladores de dominio (DC) proteger los dispositivos Windows de forma predeterminada, registrar eventos para el descubrimiento de dispositivos no compatibles y tener la opción de habilitar la protección para todos los dispositivos unidos al dominio con excepciones explícitas.

Pero la corrección completa sucederá después de que las organizaciones implementen el modo de aplicación del controlador de dominio (DC), que requiere que todos los dispositivos tanto Windows como aquellos de otros proveedores, usen NRPC seguro o que implementen excepciones explícitas y monitoreadas agregando cualquier dispositivo que no cumpla con las normas necesarias con el fin de no sufrir la explotación de ZeroLogon.

Si bien la organización puede implementar el modo de cumplimiento de DC inmediatamente habilitando una clave de registro específica, no es hasta el día 9 de febrero de 2021 que Microsoft lanzará la segunda parte del parche, forzando a los DC a habilitar el modo de cumplimiento seguro automáticamente. Esta implementación de parches por fases, se debe al hecho de que hay muchas implementaciones de dispositivos con el protocolo remoto de Netlogon que no son propietarias de Windows, por lo que se les ha dado un tiempo cercano a 5 meses, para que como proveedores, puedan proporcionar a los clientes las actualizaciones necesarias.

Es comprensible que los administradores sean cautelosos al instalar actualizaciones que afecten a componentes de red tan sensibles como los controladores de dominio. Se recomienda dar prioridad a la mitigación de esta vulnerabilidad debido a su alto impacto. Las organizaciones con servidores vulnerables deben reunir todos los recursos que necesiten para asegurarse de que este parche se instale lo antes posible.

 

Panorama

Algunos investigadores han hablado de ataques hipotéticos, en los que la explotación de esta vulnerabilidad podría ser iniciada desde Internet si es que existen otras vulnerabilidades que permitan el acceso a la red organizacional. Asimismo, según comentan, se podría usar esta vulnerabilidad para implementar ransomware en toda una organización y mantener una presencia fija si los esfuerzos de limpieza y restauración no detectan ningún script malicioso adicional en el servidor comprometido.

El listado de las CVE se adjunta a continuación:


Tags: #zerologon #parche #nrpc #netlogon #exploit #server #cve-2020-1472


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.