Microsoft advierte de explotación activa de la vulnerabilidad Zerologon

28 Septiembre 2020
Crítico

Microsoft advirtió a través de una serie de tweets, que los atacantes están explotando activamente la vulnerabilidad de elevación de privilegios de Zerologon ( CVE-2020-1472 ).

Las preocupaciones sobre esta vulnerabilidad crítica que Microsoft reveló en su Protocolo remoto de Windows Netlogon (MS-NRPC) en agosto y la cual ya hemos abordado y descrito en boletines anteriores (septiembre 15 y agosto 12), aumentaron considerablemente esta semana luego de los informes de ciberactores que atacaban activamente la falla.

 

 

Microsoft

 "Hemos observado ataques en los que se han incorporado exploits públicos en los libros de jugadas de los atacantes", dijo la compañía, y agregó: "Recomendamos encarecidamente a los clientes que apliquen inmediatamente actualizaciones de seguridad para CVE-2020-1472".

Varias muestras que llevan el nombre del exploit público SharpZeroLogon se cargaron en VirusTotal durante la última semana. 

En estos tweets se incluyen tres ejemplos que, según Microsoft, se utilizaron en los ataques para explotar la vulnerabilidad de elevación de privilegios Netlogon CVE-2020-1472 de ZeroLogon.

Los ejemplos son ejecutables .NET con el nombre de archivo 'SharpZeroLogon.exe' y se pueden encontrar en VirusTotal:

  • Ejemplo 1: b9088bea916e1d2137805edeb0b6a549f876746999fbb1b4890fb66288a59f9d
  • Ejemplo 2: 24d425448e4a09e1e1f8daf56a1d893791347d029a7ba32ed8c43e88a2d06439
  • Ejemplo 3: c4a97815d2167df4bdf9bfb8a9351f4ca9a175c3ef7c36993407c766b57c805b

En este momento, Microsoft no comparte más detalles sobre los ataques.

CISA

La Agencia de Seguridad de Infraestructura y Ciberseguridad de los EE. UU. (CISA) ordenó a  todas las agencias federales que aplicaran el parche de agosto a Microsoft Windows Server. La Directiva de emergencia 20-04  requería que las mitigaciones de Zerologon se aplicarán antes de la medianoche del lunes pasado, y que todas las agencias informaran que se completaron antes de la medianoche del miércoles. Como señala Forbes, si el asunto es lo suficientemente serio como para que CISA tome esta acción, entonces el sector privado haría lo mismo.

Samba

Ciertas configuraciones de Samba también se ven afectadas por Zerologon, y el servicio lanzó un aviso para describir las mitigaciones en siguiente link:

https://www.samba.org/samba/security/CVE-2020-1472.html

0patch

0patch ha emitido un microparche para servidores Windows que ya no reciben soporte, particularmente Windows Server 2008 R2. así lo anunció Mitja Kolsec, CEO y cofundador de 0patch.

Panorama

Basado en la rápida velocidad de explotación, varios investigadores anticipan que esta falla será una opción popular entre los atacantes y se integrará en campañas maliciosas.

  • Los sistemas que recibieron el parche lanzado en agosto, no serían susceptibles a la explotación de ZeroLogon, ya que el parche modifica el registro para implementar el protocolo "NRPC seguro" para todos los servidores y clientes de Windows en el dominio. Es importante entender que todos los controladores de dominio de Active Directory deben actualizarse, incluidos los controladores de dominio de solo lectura.
  • Microsoft explica: “Las actualizaciones permitirán a los controladores de dominio (DC) proteger los dispositivos Windows de forma predeterminada, registrar eventos para el descubrimiento de dispositivos no compatibles y tener la opción de habilitar la protección para todos los dispositivos unidos al dominio con excepciones explícitas”.
  • Pero la corrección completa sucederá después de que las organizaciones implementen el modo de aplicación del controlador de dominio (DC), que requiere que todos los dispositivos tanto Windows como aquellos de otros proveedores, usen NRPC seguro o que implementen excepciones explícitas y monitoreadas agregando cualquier dispositivo que no cumpla con las normas necesarias con el fin de no sufrir la explotación de ZeroLogon.
  • Si bien la organización puede implementar el modo de cumplimiento de DC inmediatamente habilitando una clave de registro específica, no es hasta el día 9 de febrero de 2021 que Microsoft lanzará la segunda parte del parche, forzando a los DC a habilitar el modo de cumplimiento seguro automáticamente. Esta implementación de parches por fases, se debe al hecho de que hay muchas implementaciones de dispositivos con el protocolo remoto de Netlogon que no son propietarias de Windows, por lo que se les ha dado un tiempo cercano a 5 meses, para que como proveedores, puedan proporcionar a los clientes las actualizaciones necesarias.
  • Es comprensible que los administradores sean cautelosos al instalar actualizaciones que afecten a componentes de red tan sensibles como los controladores de dominio. Se recomienda dar prioridad a la mitigación de esta vulnerabilidad debido a su alto impacto. Las organizaciones con servidores vulnerables deben reunir todos los recursos que necesiten para asegurarse de que este parche se instale lo antes posible.

El listado de las CVE se adjunta a continuación:


Tags: #zerologon #parche #nrpc #netlogon #exploit #server


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.