Si está administrando Windows Server, asegúrese de que esté actualizado con todos los parches recientes emitidos por Microsoft, especialmente el que corrige una vulnerabilidad crítica parcheada recientemente que podría permitir que atacantes no autenticados comprometan el controlador de dominio.

Apodada ‘Zerologon’ (CVE-2020-1472) y descubierta por Tom Tervoort de Secura, la vulnerabilidad de escalada de privilegios existe debido al uso inseguro del cifrado AES-CFB8 para las sesiones de Netlogon, lo que permite a los atacantes remotos establecer una conexión con el controlador de dominio objetivo. a través del protocolo remoto Netlogon (MS-NRPC).

«El ataque utiliza fallas en un protocolo de autenticación que valida la autenticidad y la identidad de una computadora unida al dominio al controlador de dominio. Debido al uso incorrecto de un modo de operación AES, es posible falsificar la identidad de cualquier cuenta de computadora ( incluida la del propio DC) y establecer una contraseña vacía para esa cuenta en el dominio «, explican los investigadores de la firma de seguridad cibernética Cynet en una publicación de blog.

Aunque la vulnerabilidad, con una puntuación CVSS de 10,0, se reveló al público por primera vez cuando Microsoft lanzó un parche en agosto, se convirtió en un motivo de preocupación repentina después de que los investigadores publicaran los detalles técnicos y la prueba de concepto de la falla la semana pasada. .

Junto con las agencias gubernamentales de la India y Australia, la Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA) también emitió una directiva de emergencia instruyendo a las agencias federales para que corrijan las fallas de Zerologon en los servidores de Windows de inmediato.

«Al enviar una cantidad de mensajes de Netlogon en los que varios campos se llenan con ceros, un atacante no autenticado podría cambiar la contraseña de la computadora del controlador de dominio que está almacenado en el AD. Esto luego se puede usar para obtener credenciales de administrador de dominio y luego restaurar el contraseña original de DC», dicen los avisos.

Según Secura, dicha falla puede explotarse en la siguiente secuencia:

• Spoofing de la credencial del cliente
• Deshabilitar la firma y el sellado de RPC
• Suplantar una llamada
• Cambiar la contraseña de AD de la computadora
• Cambio de contraseña de administrador de dominio

«CISA ha determinado que esta vulnerabilidad representa un riesgo inaceptable para el Poder Ejecutivo Federal Civil y requiere una acción inmediata y de emergencia».

«Si los controladores de dominio afectados no se pueden actualizar, asegúrese de eliminarlos de la red», aconsejó CISA.

Además, Samba, una implementación del protocolo de red SMB para sistemas Linux, las versiones 4.7 e inferiores también son vulnerables a la falla Zerologon. Ahora, también se ha emitido una actualización de parche para este software.

Además de explicar la causa raíz del problema, Cynet también publicó detalles de algunos artefactos críticos que se pueden usar para detectar la explotación activa de la vulnerabilidad, incluido un patrón de memoria específico en la memoria de lsass.exe y un pico anormal en el tráfico entre lsass.exe.

«El artefacto más documentado es el ID de evento de Windows 4742 ‘Se cambió una cuenta de computadora’, a menudo combinado con el ID de evento de Windows 4672 ‘Privilegios especiales asignados a un nuevo inicio de sesión'».

Para permitir que los usuarios de Windows Server detecten rápidamente ataques relacionados, los expertos también lanzaron la regla YARA que puede detectar ataques que ocurrieron antes de su implementación, antes de que el monitoreo en tiempo real sea una herramienta simple que también está disponible para descargar.

Sin embargo, para solucionar completamente el problema, los usuarios aún recomiendan instalar la última actualización de software de Microsoft lo antes posible.