Zerologon: una vulnerabilidad que amenaza a los controladores de dominio

La vulnerabilidad CVE-2020-1472 en el protocolo Netlogon, también conocida como Zerologon, le permite a los atacantes secuestrar controladores de dominio.

En agosto, durante el Patch Tuesday, Microsoft clausuró diversas vulnerabilidades, entre ellas CVE-2020-1472. La vulnerabilidad del protocolo Netlogon se designó como “nivel crítico severo” (su puntuación CVSS alcanzó la máxima, de 10.0). No había duda de que suponía una amenaza, pero en días pasados, el investigador de Secura, Tom Tervoort (fue él quien la descubrió), publicó un informe detallado que explicaba por qué la vulnerabilidad, conocida como Zerologon, es tan peligrosa y cómo puede ser utilizada para secuestrar un controlador de dominio.

 

A todo esto, ¿qué es Zerologon?

En esencia, CVE-2020-1472 es resultado de un defecto en el esquema de autentificación criptográfico del protocolo remoto de Netlogon. El protocolo autentifica a los usuarios y los equipos en redes basadas en dominio y también se utiliza para actualizar las contraseñas de la computadora de forma remota. Mediante la vulnerabilidad, un atacante puede hacerse pasar por una computadora cliente y sustituir la contraseña de un controlador de dominio (un servidor que controla una red entera y ejecuta servicios Active Directory), que le permite al atacante hacerse con los derechos de administrador del dominio.

 

¿Quién es vulnerable?

El CVE-2020-1472 supone un riesgo para las empresas cuyas redes están basadas en los controladores de dominio que funcionan con Windows. En particular, los cibercriminales pueden secuestrar un controlador de dominio basado en cualquier versión de Windows Server 2019 o de Windows Server 2016, así como cualquier edición de Windows Server versión 1909, Windows Server versión 1903, Windows Server versión 1809 (ediciones Datacenter y Standard),Windows Server 2012 R2, Windows Server 2012 o Windows Server 2008 R2 Service Pack. Para atacar, los cibercriminales primero necesitarían penetrar la red corporativa, pero ese no es el mayor problema; se conocen de sobra los ataques desde adentro y la penetración a través de los enchufes de Ethernet en instalaciones accesibles al público.

Afortunadamente, aún no se ha usado Zerologon en un ataque en el mundo real (o, por lo menos, no se ha tenido noticia de alguno). Sin embargo, el informe de Tervoort causó una conmoción y muy probablemente atrajo la atención de los cibercriminales. Ahora bien, aunque los investigadores no publicaron una demostración conceptual operante, no dudan de que un atacante pueda crear una basado en los parches.

 

Cómo protegerse contra los ataques de Zerologon

A principios de agosto de este año, Microsoft publicó parches para clausurar la vulnerabilidad para todos los sistemas afectados; si no has realizado una actualización aún, es hora de entrar en acción. Además, la empresa recomienda monitorear cualquier intento de inicio de sesión que se haga mediante las versiones vulnerables del protocolo y los dispositivos de identificación que no sean compatibles con la nueva versión. Idealmente, de acuerdo con Microsoft, el controlador de dominio se debe configurar en un modo en el cual todos los dispositivos utilicen la versión segura de Netlogon.

Las actualizaciones no obligan a cumplir con esta restricción porque el protocolo remoto de Netlogon no sólo se utiliza en Windows; muchos dispositivos basados en otros sistemas operativos también se sirven del protocolo. Si haces obligatorio su uso, los dispositivos que no son compatibles con la versión segura no funcionarán correctamente.

Sin embargo, a partir del 9 de febrero de 2021, se exigirá que los controladores de dominio se usen en dicho modo (es decir, obligar a todos los dispositivos a utilizar la versión actualizada y segura de Netlogon), así que los administradores tendrán que solucionar por adelantado el problema de cumplimiento de los dispositivos de terceros (ya sea actualizándolos o agregándolos manualmente como excepciones). Para obtener más información sobre lo que hace el parche y lo que cambiará en febrero, además de directrices específicas, consulta la publicación de Microsoft.

 

Consejos