CVE-2020-1472: La vulnerabilidad ‘Zerologon’ en Netlogon podría permitir a los atacantes secuestrar el controlador de dominio de Windows.

Los investigadores de seguridad revelan cómo se puede explotar el esquema de autenticación criptográfica en Netlogon para tomar el control de un controlador de dominio (DC) de Windows.

Antecedentes

El 11 de septiembre, los investigadores de Secura publicaron una entrada de blog sobre una vulnerabilidad crítica que llamaron “Zerologon”. La publicación del blog contiene un documento técnico que explica el impacto total y la ejecución de la vulnerabilidad, identificada como CVE-2020-1472 , que recibió una puntuación CVSSv3 de 10.0, la puntuación máxima. Zerologon fue parcheado por Microsoft en la ronda de actualizaciones del martes de parches de agosto . Esta divulgación sigue a una vulnerabilidad anterior relacionada con Netlogon, CVE-2019-1424 , que Secura detalló a fines del año pasado.

Análisis

CVE-2020-1472 es una vulnerabilidad de escalada de privilegios debido al uso inseguro del cifrado AES-CFB8 para sesiones de Netlogon. El estándar AES-CFB8 requiere que cada byte de texto plano, como una contraseña, debe tener un vector de inicialización aleatorio (IV) para que las contraseñas no se puedan adivinar. La función ComputeNetlogonCredential en Netlogon establece el IV en 16 bits fijos, lo que significa que un atacante podría controlar el texto descifrado. Un atacante puede aprovechar esta falla para hacerse pasar por la identidad de cualquier máquina en una red cuando intenta autenticarse en el controlador de dominio (DC). Entonces son posibles más ataques, incluida la toma de control completa de un dominio de Windows. El documento técnico de Secura también señala que un atacante podría simplemente ejecutar el script ‘secretsdump’ de Impacket para extraer una lista de hashes de usuario de un DC objetivo.

Para aprovechar esta vulnerabilidad, el atacante debería lanzar el ataque desde una máquina en la misma red de área local (LAN) que su objetivo. Un cliente vulnerable o DC expuesto a Internet no es explotable por sí mismo. El ataque requiere que el inicio de sesión falsificado funcione como un intento de inicio de sesión de dominio normal. Active Directory (AD) necesitaría reconocer que el cliente de conexión se encuentra dentro de su topología lógica, lo que las direcciones externas no tendrían.

tecnologia

Fuente de la imagen: Informe técnico de Secura CVE-2020-1472

Prueba de concepto

Se han publicado varias pruebas de concepto (PoC) en GitHub [1] [2] [3] [4],  . Lo que demuestra un amplio interés y experimentación en la comunidad de seguridad. Los investigadores han trabajado rápido para confirmar la explotación exitosa. Las vulnerabilidades críticas y de alto perfil tienden a recibir un interés generalizado tanto de los investigadores de seguridad como de los atacantes.

En un ataque hipotético, se podría usar esta vulnerabilidad para implementar ransomware en toda una organización y mantener una presencia persistente si los esfuerzos de limpieza y restauración no detectan ningún script malicioso adicional. Las organizaciones con copias de seguridad accesibles en red podrían terminar con una tormenta perfecta si un grupo de ransomware destruye las copias de seguridad para aumentar su probabilidad de pago de la organización víctima.

Solución

La aplicación de la actualización del martes de parches de agosto del Aviso de Microsoft solucionará la vulnerabilidad al hacer cumplir la llamada a procedimiento remoto (RPC) en el protocolo Netlogon para todos los dispositivos Windows. Tenable recomienda encarecidamente a los usuarios y administradores que apliquen este parche lo antes posible.

Los usuarios deben saber que Microsoft señala que se realizará una revisión de este aviso el 9 de febrero de 2021 y que, una vez que comience la fase de aplicación, se requerirá el modo de aplicación para todos los dispositivos que no sean de Windows. Los administradores pueden permitir dispositivos específicos manualmente a través de la política de grupo para las necesidades de dispositivos heredados.

Identificación de sistemas afectados

Puede encontrar una lista de complementos de Tenable para identificar esta vulnerabilidad aquí. Tenable también lanzará complementos adicionales para la actualización del 9 de febrero de 2021. Se puede utilizar un archivo de auditoría de cumplimiento, disponible aquí, para garantizar que el valor de la clave de registro FullSecureChannelProtection se establezca en la política de grupo en el DC. La corrección de agosto de 2020 debería establecer esta clave de registro después de que el parche se haya aplicado correctamente.

CONTACTO

Llena el formulario para dejarnos un mensaje. 

Dr Santos Sepúlveda #130 64710 Monterrey, Nuevo León, México

81 8333 8735

info@gbsolution.com

13 + 3 =

Al enviar este formulario, confirma que acepta que GBS almacene y procese sus datos personales como se describe en nuestro Aviso de Privacidad