Alerta de Seguridad No 10/20: Zerologon: Nueva amenaza crítica en Windows Server

  • 13/10/2020
  • 2082
Alerta de Seguridad No 10/20: Zerologon: Nueva amenaza crítica en Windows Server

La Habana, 13 de octubre de 2020

Año 62 de la Revolución

 

 

 

 

 

Zerologon es el nombre asignado a la vulnerabilidad crítica CVE-2020-1472 que afecta a controladores de dominio del Directorio Activo debido a error en la implementación criptográfica del protocolo remoto Netlogon (MS-NRPC).

La base de datos del NIST ha asignado la criticidad máxima de 10.0 según la escala del Sistema de Puntuación de Vulnerabilidad Común CVSSv3, al tratarse de una vulnerabilidad explotable únicamente con tener visibilidad en la red del controlador de dominio, con una complejidad técnica baja, sin requerir privilegios y sin ser necesaria la interacción de un usuario legítimo.

Microsoft ha abordado la vulnerabilidad en dos fases: la primera consiste en aplicar los parches oficiales publicados en agosto del presente año y la segunda en la publicación de nuevas actualizaciones con el fin de mejorar la solución de este error la cual está prevista para el próximo año.

 

Detalles Técnicos

Esta es una vulnerabilidad en el protocolo remoto Netlogon, el cual es gestionado a través de una interfaz RPC (Remote Procedure Call), disponible en los controladores de dominio de Windows. Este protocolo se utiliza para diversas tareas relacionadas con la autenticación de usuarios y máquinas, más comúnmente para facilitar que los usuarios inicien sesión en servidores utilizando el protocolo NTLM. Netlogon emplea un protocolo criptográfico personalizado para permitir que un cliente y un servidor certifiquen entre sí que ambos conocen un secreto compartido, el cual es un hash de la contraseña de la cuenta del equipo cliente.

La vulnerabilidad se ubica en la criptografía utilizada para el protocolo de enlace de autenticación inicial, ya que existe una omisión de autenticación general severa, que podría ser explotada por un atacante simplemente estableciendo conexiones TCP con un controlador de dominio vulnerable, para lo que bastaría con tener acceso a la red, pero sin requerir ninguna credencial de dominio. Una explotación exitosa de la vulnerabilidad otorgaría al atacante privilegios de administrador de dominio e incluso la posibilidad de comprometer por completo el servidor.

La vulnerabilidad recibe el nombre de Zerologon debido a fallas en el proceso de inicio de sesión donde el vector de inicialización se establece en ceros todo el tiempo, mientras que un vector de inicialización siempre debe ser un número aleatorio.

 

Sistemas Afectados

En su aviso de seguridad del 11/08/2020, el fabricante confirmó que los siguientes productos se encuentran afectados por esta vulnerabilidad:

  • Windows Server 2008 R2 for x64-based Systems Service Pack 1
  • Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
  • Windows Server 2012
  • Windows Server 2012 (Server Core installation)
  • Windows Server 2012 R2
  • Windows Server 2012 R2 (Server Core installation)
  • Windows Server 2016
  • Windows Server 2016 (Server Core installation)
  • Windows Server 2019
  • Windows Server 2019 (Server Core installation)
  • Windows Server, version 1903 (Server Core installation)
  • Windows Server, version 1909 (Server Core installation)
  • Windows Server, version 2004 (Server Core installation)

 

Recomendaciones:

  • Aplicar los parches de seguridad existentes para mitigar esta amenaza los cuales se encuentran disponibles en el Sistema de Actualizaciones Automáticas de Windows (WSUS) desplegado para BioCubaFarma (10.25.1.34). De ser necesario su actualización de forma manual los parches pueden ser descargados del siguiente enlace, dentro de la sección Security Updates en correspondencia con la versión empleada:

             https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1472

  • Comprobar si el controlador de dominio ha sido parcheado correctamente o aún es vulnerable a Zerologon. Para realizar la verificación puede ser empleando script desarrollado en Python por investigadores que reportaron la vulnerabilidad a Microsoft, encontrándose disponible en:

             ftp://10.25.1.24/Ciberseguridad/CVE-2020-1472-master.zip

  • Permanecer atentos a esta vulnerabilidad porque Microsoft en el primer cuatrimestre de 2021 publicará la segunda fase para los dispositivos no compatibles con el forzado de NRPC (NetLogon Remote Protocol) a recibir sus respectivas actualizaciones. Para mayor información ver Cómo administrar los cambios en conexiones de canal seguro de Netlogon asociadas con CVE-2020-1472 en el siguiente enlace:

             https://support.microsoft.com/es-es/help/4557222/how-to-manage-the-changes-in-netlogon-secure-channel-connections-assoc

 

Referencias:

  • https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1472
  • https://www.ccn-cert.cni.es/seguridad-al-dia/alertas-ccn-cert/10477-ccn-cert-al-09-20-vulnerabilidad-zerologon.html

 

Equipo de Respuesta a Incidentes de Seguridad Informática de BioCubaFarma

CSIRT-BCF