Vulnerabilidad Zerologon de Microsoft: aspectos a tener en cuenta

En agosto Microsoft reveló que su Protocolo remoto de Windows Netlogon (MS-NRPC) tenía una vulnerabilidad crítica. Sin embargo, no ha sido hasta la semana pasada cuando han aparecido los primeros informes de ciberdelincuentes que atacaban activamente aprovechándolo. Esta vulnerabilidad crítica se la ha denominado «Zerologon», y es importantísimo que parchees tu Windows si no quieres tener un grave problema de seguridad.

La alerta de seguridad de Microsoft sobre Zerologon

Anteriormente os hemos explicado que las primeras informaciones databan de agosto, pero hasta finales de septiembre no se han producido los primeros ataques usando Zerologon. El jueves 24 de septiembre, Microsoft en su cuenta oficial de Twitter comenzó a alertar sobre el problema. Así comunicaba que los atacantes habían utilizado la vulnerabilidad Zerologon.

Microsoft is actively tracking threat actor activity using exploits for the CVE-2020-1472 Netlogon EoP vulnerability, dubbed Zerologon. We have observed attacks where public exploits have been incorporated into attacker playbooks.

— Microsoft Security Intelligence (@MsftSecIntel) September 24, 2020

Además, la empresa comentó que ya hay exploits públicos que los atacantes han incorporado en su arsenal de ataques a servidores Windows. Microsoft recomendó a los clientes que apliquen inmediatamente las actualizaciones de seguridad para CVE-2020-1472.

La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) de Estados Unidos aumentó el sentido de urgencia con su propia alerta. En ella se urgía a los administradores de TI a parchear todos los controladores de dominio de inmediato. Esto indica que se trata de un problema serio.

Qué es la vulnerabilidad Zerologon

Este fallo de seguridad afecta a los usuarios de Windows Server. La empresa de ciberseguridad Secura fue quien le puso el nombre de vulnerabilidad Zerologon. En caso de ser utilizada por un ciberdelincuente, podría conseguir privilegios de administrador sobre un dominio y tener el control total.

CVE-2020-1472 es una vulnerabilidad de elevación de privilegios que existe en MS-NRPC. Netlogon es un componente de autenticación central de Microsoft Active Directory. Además, Netlogon es un servicio proporcionado por controladores de dominio para proporcionar un canal seguro entre un ordenador y el controlador de dominio. La vulnerabilidad Zerologon se le ha asignado una clasificación CVSS de 10. Hay que señalar que esta puntuación es la máxima clasificación de gravedad posible para un fallo de software, lo cual indica su gravedad.

Razón por la que es un fallo de seguridad crítico

Microsoft ha comentado que este fallo de seguridad de Netlogon permite que un atacante no autenticado, use MS-NRPC para conectarse a un controlador de dominio, y pueda conseguir tener acceso de administrador completo.

La vulnerabilidad Zerologon permite que cualquiera pueda autorizar y usar este canal con mucha facilidad, incluso desde una máquina que no sea de dominio.

Qué puede pasar si no aplicamos el parche de inmediato

En caso de no aplicar el parche para la vulnerabilidad Zerologon, estamos dejando nuestros activos más críticos desprotegidos de una amenaza real. Además, podemos afirmar que no se trata de un error teórico ya que los atacantes pueden utilizarlo de manera activa contra las empresas. En ese sentido, como ya comentamos antes, hay que recordar que este fallo de seguridad alcanzó la puntuación más alta, y que hay exploits públicos para aprovecharlos.

El parche que emitió Microsoft en agosto no es la solución definitiva

Microsoft, para solucionar la vulnerabilidad Zerologon, va a emitir dos parches. El primero, lanzado en agosto y ya disponible, nos protege contra la explotación de la vulnerabilidad. El segundo parche está previsto para febrero de 2021 con el objetivo de hacer cumplir los inicios de sesión seguros a través de una llamada a procedimiento remoto (RPC) con Netlogon.

En este momento el parche que lanzó Microsoft, habilita funciones de seguridad que impiden que funcionen las vulnerabilidades de Zerologon. Sin embargo, esto no soluciona los problemas subyacentes del servicio que se corregirán definitivamente con el segundo parche.

Qué pueden hacer las empresas para protegerse

Lo primero que tenemos que hacer es tener instalado el parche para la vulnerabilidad Zerologon. Ahora mismo, la única manera de estar completamente protegido contra este fallo de seguridad, es identificar los controladores de dominio a los que se pueda acceder a través de Internet, aplicarles parches y seguir los consejos de Microsoft sobre cómo hacer cumplir las conexiones RPC seguras.

El artículo Vulnerabilidad Zerologon de Microsoft: aspectos a tener en cuenta se publicó en RedesZone.