24 Sep Zerologon: debilidad criptográfica de Netlogon

Microsoft urge aplicar el parche de seguridad de agosto lo más rápido posible.

Una vulnerabilidad severa permite a atacantes poder secuestrar servidores empresariales debido a una debilidad criptográfica en Netlogon. Esa debilidad se resuelve aplicando la actualización de Microsoft del mes de agosto.

Registrado como CVE-2020-1472 y con una calificación CVSS de 10.00, la puntuación de impacto crítico más alta posible, el error se describe como una “vulnerabilidad de escalada de privilegios” causada por atacantes “que establecen una conexión de canal segura Netlogon vulnerable a un controlador de dominio, utilizando el protocolo remoto Netlogon (MS-NRPC) ”.

Llamado Zerologon, la vulnerabilidad fue descubierta por Tom Tervoort de Secura. El investigador de ciberseguridad ha encontrado problemas similares en Netlogon antes, incluido CVE-2019-1424, una falla de omisión de seguridad que permitió el acceso de administrador local remoto a máquinas Windows unidas al dominio, pero el último problema de seguridad de Netlogon es mucho más grave.

No se requieren credenciales

El protocolo remoto de Netlogon se utiliza para cambiar o replicar las credenciales y contraseñas de la cuenta dentro de un dominio, así como para mantener las relaciones de de los usuarios con el controlador de dominio (DC).

Según el documento técnico de Secura que examina la vulnerabilidad, todo lo que un atacante necesita es un punto de apoyo en una red para establecer un enlace a un controlador de dominio mediante MS-NRPC. No se requieren credenciales para realizar un ataque.

El protocolo utiliza un esquema de cifrado personalizado entre un cliente y un servidor para probar un secreto compartido, que resulta ser el hash de la contraseña de la cuenta de la máquina del cliente.

Existen dos versiones de un proceso criptográfico utilizado para generar valores de credenciales, una basada en 2DES y una versión más moderna basada en AES. Su implementación depende de las Flags que establezca un usuario.

La vulnerabilidad existe en el protocolo de cifrado más reciente y es causada por el uso incorrecto de un modo operativo AES, que permite a los atacantes “falsificar la identidad de cualquier cuenta de computadora (incluida la del mismo DC) y establecer una contraseña vacía para esa cuenta en el dominio ”.

Los controladores de dominio deben actualizarse lo antes posible. Secura también publicó una herramienta en GitHub para que los administradores pueden ejecutar para ver si un controlador de dominio es vulnerable.