Hasta que se actualicen todos los controladores de dominio, toda la infraestructura sigue siendo vulnerable, advierte el CISA del DHS.
Microsoft a través de una serie de tweets que instaban a las organizaciones a aplicar de inmediato un parche que había emitido para el error ( CVE-2020-1472 ), al que muchos han comenzado a referirse como la vulnerabilidad Zerologon.
"Hemos observado ataques en los que se han incorporado exploits públicos en los libros de jugadas de los atacantes", advirtió la empresa. "Recomendamos a los clientes que apliquen inmediatamente actualizaciones de seguridad para CVE-2020-1472".
La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) del Departamento de Seguridad Nacional aumentó el sentido de urgencia con su propia alerta instando a los administradores de TI a parchear todos los controladores de dominio de inmediato. La agencia lanzó un script de validación de parches que, según dijo, las organizaciones podrían usar rápidamente para detectar controladores de dominio de Microsoft que aún necesitaban parchearse contra la falla.
"Hasta que se actualice cada controlador de dominio, toda la infraestructura sigue siendo vulnerable", dijo el aviso de CISA.
Alerta de CISA Jueves siguió otra de las DHS el lunes dirigir todas las agencias federales a los parches CVE-2020-1472 no más tarde del final de el día 21 de septiembre.
Esto es lo que necesita saber sobre la vulnerabilidad y por qué debe abordarla de inmediato, según los expertos en seguridad.
¿De qué trata exactamente la vulnerabilidad Netlogon / Zerologon?
CVE-2020-1472 es una vulnerabilidad de elevación de privilegios (escalamiento de privilegios) que existe en MS-NRPC. Netlogon es un componente de autenticación central de Microsoft Active Directory.
"Netlogon es un servicio proporcionado por controladores de dominio para proporcionar un canal seguro entre una computadora y el controlador de dominio", dice Luke Richards, analista consultor senior de Vectra. "Normalmente se requieren credenciales previamente establecidas u otros métodos de autenticación para que se pueda utilizar el canal".
A la falla de Netlogon / Zerologon se le ha asignado una puntuación base CVSS de 10, que es la máxima clasificación de gravedad posible para una falla de software según el sistema de puntuación de vulnerabilidades ampliamente utilizado.
¿Por qué hay tanta preocupación por la falla?
La falla de Netlogon / Zerologon permite que un atacante no autenticado use MS-NRPC para conectarse a un controlador de dominio y obtener acceso de administrador completo, señaló Microsoft.
"La falla permite que cualquier persona autorice y use este canal con mucha facilidad, incluso desde una máquina que no sea de dominio, lo que les permite realizar muchas acciones a nivel de dominio", dice Richards.
Dustin Childs, gerente de comunicaciones de ZDI de Trend Micro, dice que no hay nada teórico sobre el error o cómo se puede explotar. "Esta vulnerabilidad podría permitir a atacantes no autenticados ejecutar código arbitrario en los controladores de dominio de Windows afectados", dice. El código se ejecutaría con privilegios elevados y permitiría a un atacante hacerse cargo por completo del controlador de dominio y, a partir de ahí, esencialmente todo el dominio.
Como resultado, el CISA ha descrito la falla como presentando un "riesgo inaceptable" para las agencias federales y los está instando a tomar medidas de emergencia para repararlos.
Microsoft reveló el error en agosto. ¿Qué provocó las alertas de esta semana?
El equipo de inteligencia de amenazas de Microsoft y los investigadores de otras organizaciones han observado a los atacantes que atacan la vulnerabilidad utilizando exploits disponibles públicamente. No está claro qué tan extendida está la actividad maliciosa, o si los ataques que Microsoft informó haber observado fueron dirigidos por naturaleza. Pero el mero hecho de que los exploits estén disponibles públicamente y que los ataques hayan comenzado ha aumentado los riesgos asociados con dejar el error sin parchear.
El código de prueba de concepto estuvo disponible casi inmediatamente después de que Microsoft lanzó el parche y las vulnerabilidades reales comenzaron a reportarse a mediados de septiembre, dice Childs de ZDI. "En este punto, la explotación activa es algo limitada", añade. "No hay evidencia de que los atacantes estén recurriendo a un enfoque de 'rociar y rezar'" para explotar la falla.
Afortunadamente, debido a que la mayoría de los controladores de dominio no son accesibles desde Internet, es probable que el número de objetivos disponibles sea algo limitado, dice Child.
Pero los sistemas expuestos externamente no son el único problema. Joseph Carson, científico en jefe de seguridad y CISO asesor de Thycotic, dice que vulnerabilidades como Zerologon presentan una oportunidad perfecta para la escalada de privilegios para los delincuentes que ya podrían tener un punto de apoyo en la red.
"El compromiso de privilegios es un problema de seguridad extremadamente grave. Debería ser una prioridad máxima parchear los sistemas vulnerables", dice. El hecho de que CISA haya emitido una alerta sugiere que algunos departamentos federales podrían haber sido víctimas del problema, dice Carson.
¿Cuáles son las posibles consecuencias de no aplicar un parche de inmediato?
"No aplicar el parche significa que está dejando uno de sus activos más críticos desprotegido de una amenaza activa", dice Childs. "Este no es un error teórico que pueda ser aprovechado por atacantes sofisticados. Este es un error que los actores de amenazas utilizan activamente contra las empresas".
Los atacantes que explotan con éxito la vulnerabilidad de Zerologon pueden autenticarse en el dominio como controlador de dominio y esencialmente emitirse a sí mismos un "boleto de oro", que les permitiría asignar nuevos tokens de autenticación en cualquier nivel, dice Richards de Vectra.
¿El parche que Microsoft emitió en agosto soluciona por completo la falla de Zerologon?
Microsoft anunció un lanzamiento de parches de dos partes cuando inicialmente reveló la falla en agosto. El primer parche, lanzado en agosto, protege contra la vulnerabilidad que se explota. Un segundo parche está programado para febrero de 2021 para hacer cumplir los inicios de sesión seguros a través de una llamada a procedimiento remoto (RPC) con Netlogon.
"Por el momento, el parche que lanzó Microsoft habilita funciones de seguridad que impiden que funcionen las vulnerabilidades de Zerologon", dice Richards. "Sin embargo, esto no soluciona los problemas subyacentes del servicio".
Childs dice que el parche actualmente disponible debe aplicarse a todos los controladores de dominio, incluidos los controladores de solo lectura, y debe crearse una clave de registro para hacer cumplir las conexiones RPC seguras. Sin embargo, hasta que el segundo parche esté disponible, el problema no se abordará por completo, dice.
"De acuerdo con la propia guía de Microsoft , recomendaron a los administradores de sistemas que aplicaran este parche y luego monitorearan los dispositivos no compatibles, en lugar de hacer cumplir de inmediato la conexión RPC más segura", dice. "Esta recomendación de disponibilidad sobre seguridad significa que es probable que haya sistemas parcheados todavía en un estado vulnerable".
¿Qué pueden hacer las organizaciones para mitigar el riesgo?
La única forma de estar completamente protegido contra la amenaza es identificar los controladores de dominio a los que se puede acceder a través de Internet, aplicarles parches y seguir los consejos de Microsoft sobre cómo hacer cumplir las conexiones RPC seguras.
Otras recomendaciones son prestar mucha atención a los sistemas que pueden informar cuando las cuentas de usuario o los hosts se están utilizando para acceder a los servicios y objetos de red a los que normalmente no acceden
Gracias por visitar este sitio, espero que te haya gustado y vuelvas proximamente, compartela en las redes sociales, gracias
