El mes pasado, Microsoft corrigió uno de los errores más graves jamás reportados a la compañía, un fallo del que se podría abusar para controlar fácilmente los servidores Windows que se ejecutan como controladores de dominio en las redes empresariales. El error se corrigió en el Tuesday Patch de Agosto 2020, designado con identificador CVE-2020-1472. Fue descrito como una elevación de privilegios en Netlogon, el protocolo que autentica a los usuarios frente a los controladores de dominio.
La vulnerabilidad recibió la clasificación de gravedad máxima de 10, pero los detalles nunca se hicieron públicos, lo que significa que los usuarios y administradores de TI nunca supieron cuán peligroso era realmente el problema. Sin embargo, en un boletín de seguridad publicado hoy, el equipo de Secura, una empresa de seguridad holandesa, levantó el velo de este fallo y publicó un informe técnico que describe CVE-2020-1472 con mayor profundidad. Y según el informe, el error es realmente digno de su puntuación de gravedad CVSSv3 de 10/10.
Según los expertos de Secura, el error, al que llamaron Zerologon, se aprovecha de un algoritmo criptográfico débil utilizado en el proceso de autenticación de Netlogon. Este error permite a un atacante manipular los procedimientos de autenticación de Netlogon y:
- Suplantar la identidad de cualquier computadora en una red al intentar autenticarse contra el controlador de dominio
- Deshabilitar las funciones de seguridad en el proceso de autenticación de Netlogon
- Cambiar la contraseña de una computadora en el Active Directory del controlador de dominio (una base de datos de todas las computadoras unidas a un dominio y sus contraseñas).
El despliegue del ataque resulta muy rápido y puede durar hasta tres segundos como máximo. No hay límites sobre cómo un atacante puede usar el ataque Zerologon. Por ejemplo, el atacante también podría hacerse pasar por el controlador de dominio y cambiar su contraseña, lo que permitiría que el pirata informático se hiciera cargo de toda la red corporativa.
Según la descripción provista por los investigadores, los servidores de Windows no son vulnerables desde fuera de la red. Un atacante primero necesita un punto de acceso inicial dentro de la red. No obstante, cuando se cumple esta condición, es cuestión de tiempo consolidar el compromiso a la infraestractura de la compañía.
Parches disponibles
Desarrollar parches para ZeroLogon no ha sido tarea fácil para Microsoft, ya que la compañía tuvo que modificar la forma en que miles de millones de dispositivos se conectan a las redes corporativas, interrumpiendo efectivamente las operaciones de innumerables empresas. Este proceso de parcheo está programado para tener lugar en dos fases. El primero tuvo lugar el mes pasado, cuando Microsoft lanzó una solución temporal para el ataque Zerologon.
Este parche temporal hizo que las funciones de seguridad de Netlogon (que Zerologon estaba deshabilitando) fueran obligatorias para todas las autenticaciones de Netlogon, rompiendo efectivamente los ataques de Zerologon. No obstante, un parche más completo está programado para febrero de 2021, en caso de que los atacantes encuentren una forma de evitar los parches de agosto.
Secura no ha publicado un código de prueba de concepto para un ataque de Zerologon armado, pero la compañía espera que finalmente salgan a la luz después de que su informe se difunda hoy en línea. Mientras tanto, la compañía ha lanzado un script en Python, una secuencia de comandos que puede indicar a los administradores si su controlador de dominio se ha parcheado correctamente.
Referencias: