TLP: Amber
NIVEL DE RIESGO CVSSv3.1: 10.0 [Critico]
Acción Requerida: Aplicar las actualizaciones publicadas por Microsoft a los productos afectados.
Vector de ataque: Remoto.
Impacto: Elevación de privilegios.

Descripción

Una firma de ciberseguridad ha identificado una nueva campaña maliciosa relacionada con el grupo conocido como “TA505”, el cual ha tenido actividad en años anteriores usando la técnica de “Malspam” para distribuir troyanos bancarios como “Dridex”, o ransomware como “Locky”, “Philadelphia” y “GlobeImposter”.

El grupo TA505 es conocido por realizar modificaciones constantes en sus campañas con el fin de ir evolucionando junto con los mecanismos de defensa de las organizaciones y de esta manera conseguir evadirlos al momento de comprometerlas.

En esta campaña maliciosa, TA505 está aprovechando la falla de seguridad CVE-2020-1472 (CVSS v3.1 10.0 [Crítico]), también conocida como Zerologon, presente en Windows Server. Esta vulnerabilidad permite a los usuarios malintencionados hacer una elevación de privilegios en el servicio Netlogon, un mecanismo de autenticación que verifica las solicitudes de inicio de sesión en Windows.

Lo anterior se debe a una falta de autenticación criptográfica que utiliza el protocolo Remoto Netlogon, el atacante puede enviar una solicitud especialmente diseñada, utilizando MS-NRPC (Netlogon Remote Protocol) para conectarse a un controlador de dominio y obtener acceso de administrador, sin requerir autenticación.

TA505 aprovecha este fallo, y después agrega al equipo la herramienta conocida como “Mimikatz”, la cual les permite instalar otro tipo de programas, como ransomware, y robar información confidencial del equipo, por ejemplo, credenciales de acceso.

Es por ello que se recomienda mantener un control exhaustivo en las actualizaciones de equipos Windows, y monitorear constantemente la actividad de los sistemas y de la red en busca de posibles anomalías.

Finalmente, es importante mencionar que Zerologon, junto con varias PoC (Pruebas de Concepto) publicadas en Internet, están siendo utilizadas por diferentes grupos maliciosos para realizar compromisos contra los sistemas Windows Server de las organizaciones que no hayan aplicado las actualizaciones de seguridad pertinentes que corrigen la vulnerabilidad CVE-2020-1472.

Nivel de riesgo

  • CVSS v3.1: 10.0 [Crítico]

Sistemas/tecnologías afectadas:

  • Windows Server 2008 R2
  • Windows Server 2012
  • Windows Server 2012
  • Windows Server 2012 R2
  • Windows Server 2016
  • Windows Server 2019
  • Windows Server versión 1903
  • Windows Server versión 1909
  • Windows Server versión 2004

Medidas de erradicación

  • Aplicar las actualizaciones de seguridad liberadas por Microsoft.

Referencias