{"id":20106,"date":"2020-09-17T10:36:43","date_gmt":"2020-09-17T16:36:43","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=20106"},"modified":"2020-09-17T10:36:43","modified_gmt":"2020-09-17T16:36:43","slug":"cve-2020-1472-domain-controller-vulnerability","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/cve-2020-1472-domain-controller-vulnerability\/20106\/","title":{"rendered":"Zerologon: una vulnerabilidad que amenaza a los controladores de dominio"},"content":{"rendered":"

En agosto, durante el Patch Tuesday, Microsoft clausur\u00f3 diversas vulnerabilidades, entre ellas CVE-2020-1472<\/a>. La vulnerabilidad del protocolo Netlogon se design\u00f3 como \u201cnivel cr\u00edtico severo\u201d (su puntuaci\u00f3n CVSS alcanz\u00f3 la m\u00e1xima, de 10.0). No hab\u00eda duda de que supon\u00eda una amenaza, pero en d\u00edas pasados, el investigador de Secura, Tom Tervoort (fue \u00e9l quien la descubri\u00f3), public\u00f3 un informe detallado<\/a> que explicaba por qu\u00e9 la vulnerabilidad, conocida como Zerologon, es tan peligrosa y c\u00f3mo puede ser utilizada para secuestrar un controlador de dominio.<\/p>\n

\u00a0<\/p>\n

A todo esto, \u00bfqu\u00e9 es Zerologon?<\/h2>\n

En esencia, CVE-2020-1472 es resultado de un defecto en el esquema de autentificaci\u00f3n criptogr\u00e1fico del protocolo remoto de Netlogon. El protocolo autentifica a los usuarios y los equipos en redes basadas en dominio y tambi\u00e9n se utiliza para actualizar las contrase\u00f1as de la computadora de forma remota. Mediante la vulnerabilidad, un atacante puede hacerse pasar por una computadora cliente y sustituir la contrase\u00f1a de un controlador de dominio (un servidor que controla una red entera y ejecuta servicios Active Directory), que le permite al atacante hacerse con los derechos de administrador del dominio.<\/p>\n

\u00a0<\/p>\n

\u00bfQui\u00e9n es vulnerable?<\/h2>\n

El CVE-2020-1472 supone un riesgo para las empresas cuyas redes est\u00e1n basadas en los controladores de dominio que funcionan con Windows. En particular, los cibercriminales pueden secuestrar un controlador de dominio basado en cualquier versi\u00f3n de Windows Server 2019 o de Windows Server 2016, as\u00ed como cualquier edici\u00f3n de Windows Server versi\u00f3n 1909, Windows Server versi\u00f3n 1903, Windows Server versi\u00f3n 1809 (ediciones Datacenter y Standard),Windows Server 2012 R2, Windows Server 2012 o Windows Server 2008 R2 Service Pack. Para atacar, los cibercriminales primero necesitar\u00edan penetrar la red corporativa, pero ese no es el mayor problema; se conocen de sobra los ataques desde adentro<\/a> y la penetraci\u00f3n a trav\u00e9s de los enchufes de Ethernet<\/a> en instalaciones accesibles al p\u00fablico.<\/p>\n

Afortunadamente, a\u00fan no se ha usado Zerologon en un ataque en el mundo real (o, por lo menos, no se ha tenido noticia de alguno). Sin embargo, el informe de Tervoort caus\u00f3 una conmoci\u00f3n y muy probablemente atrajo la atenci\u00f3n de los cibercriminales. Ahora bien, aunque los investigadores no publicaron una demostraci\u00f3n conceptual<\/a> operante, no dudan de que un atacante pueda crear una basado en los parches.<\/p>\n

\u00a0<\/p>\n

C\u00f3mo protegerse contra los ataques de Zerologon<\/h2>\n

A principios de agosto de este a\u00f1o, Microsoft public\u00f3 parches<\/a> para clausurar la vulnerabilidad para todos los sistemas afectados; si no has realizado una actualizaci\u00f3n a\u00fan, es hora de entrar en acci\u00f3n. Adem\u00e1s, la empresa recomienda monitorear cualquier intento de inicio de sesi\u00f3n que se haga mediante las versiones vulnerables del protocolo y los dispositivos de identificaci\u00f3n que no sean compatibles con la nueva versi\u00f3n. Idealmente, de acuerdo con Microsoft, el controlador de dominio se debe configurar en un modo en el cual todos los dispositivos utilicen la versi\u00f3n segura de Netlogon.<\/p>\n

Las actualizaciones no obligan a cumplir con esta restricci\u00f3n porque el protocolo remoto de Netlogon no s\u00f3lo se utiliza en Windows; muchos dispositivos basados en otros sistemas operativos tambi\u00e9n se sirven del protocolo. Si haces obligatorio su uso, los dispositivos que no son compatibles con la versi\u00f3n segura no funcionar\u00e1n correctamente.<\/p>\n

Sin embargo, a partir del 9 de febrero de 2021, se exigir\u00e1 que los controladores de dominio se usen en dicho modo (es decir, obligar a todos los dispositivos a utilizar la versi\u00f3n actualizada y segura de Netlogon), as\u00ed que los administradores tendr\u00e1n que solucionar por adelantado el problema de cumplimiento de los dispositivos de terceros (ya sea actualiz\u00e1ndolos o agreg\u00e1ndolos manualmente como excepciones). Para obtener m\u00e1s informaci\u00f3n sobre lo que hace el parche y lo que cambiar\u00e1 en febrero, adem\u00e1s de directrices espec\u00edficas, consulta la publicaci\u00f3n de Microsoft<\/a>.<\/p>\n

\u00a0<\/p>\n\n","protected":false},"excerpt":{"rendered":"

La vulnerabilidad CVE-2020-1472 en el protocolo Netlogon, tambi\u00e9n conocida como Zerologon, le permite a los atacantes secuestrar controladores de dominio.<\/p>\n","protected":false},"author":2581,"featured_media":20107,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[6],"tags":[3547,49,647],"class_list":{"0":"post-20106","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-news","8":"tag-cve","9":"tag-microsoft","10":"tag-vulnerabilidades"},"hreflang":[{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/cve-2020-1472-domain-controller-vulnerability\/20106\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/cve-2020-1472-domain-controller-vulnerability\/21903\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/cve-2020-1472-domain-controller-vulnerability\/17377\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/cve-2020-1472-domain-controller-vulnerability\/23294\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/cve-2020-1472-domain-controller-vulnerability\/21486\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/cve-2020-1472-domain-controller-vulnerability\/23898\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/cve-2020-1472-domain-controller-vulnerability\/22837\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/cve-2020-1472-domain-controller-vulnerability\/29085\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/cve-2020-1472-domain-controller-vulnerability\/8828\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/cve-2020-1472-domain-controller-vulnerability\/37048\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/cve-2020-1472-domain-controller-vulnerability\/15680\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/cve-2020-1472-domain-controller-vulnerability\/16049\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/cve-2020-1472-domain-controller-vulnerability\/13982\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/cve-2020-1472-domain-controller-vulnerability\/25178\/"},{"hreflang":"zh","url":"https:\/\/www.kaspersky.com.cn\/blog\/cve-2020-1472-domain-controller-vulnerability\/11985\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/cve-2020-1472-domain-controller-vulnerability\/29235\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/cve-2020-1472-domain-controller-vulnerability\/26096\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/cve-2020-1472-domain-controller-vulnerability\/22875\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/cve-2020-1472-domain-controller-vulnerability\/28197\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/cve-2020-1472-domain-controller-vulnerability\/28029\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/latam.kaspersky.com\/blog\/tag\/vulnerabilidades\/","name":"vulnerabilidades"},"_links":{"self":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/20106","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/users\/2581"}],"replies":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/comments?post=20106"}],"version-history":[{"count":1,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/20106\/revisions"}],"predecessor-version":[{"id":20108,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/20106\/revisions\/20108"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media\/20107"}],"wp:attachment":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media?parent=20106"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/categories?post=20106"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/tags?post=20106"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}