TLP: Amber
NIVEL DE RIESGO – CVSS v3.1: 10.0 [Crítico]
Acción Requerida: Aplicar las actualizaciones publicadas por Microsoft a los productos afectados.
Vector de ataque: Remoto.
Impacto: Elevación de privilegios.

Descripción

Microsoft ha emitido una alerta comunicando a sus clientes acerca de que el grupo de usuarios maliciosos de Irán, conocido como “MuddyWater”, están aprovechando la falla de seguridad CVE-2020-1472 (CVSS v3.1 10.0 [Crítico]), también conocida como Zerologon.

Esta vulnerabilidad permite a los usuarios malintencionados hacer una elevación de privilegios en el servicio Netlogon, un mecanismo de autenticación que verifica las solicitudes de inicio de sesión en Windows.

Lo anterior se debe a una falta de autenticación criptográfica que utiliza el protocolo Remoto Netlogon, el atacante puede enviar una solicitud especialmente diseñada, utilizando MS-NRPC (Netlogon Remote Protocol) para conectarse a un controlador de dominio y obtener acceso de administrador, sin requerir autenticación.

Un atacante puede falsificar un token para Netlogon y llamar a una función específica para establecer una nueva contraseña y con ello poder tomar el controlador de dominio, robar credenciales de acceso, hacerse pasar por cualquier equipo del dominio, deshabilitar funciones de seguridad de Netlogon y cambiar contraseñas de un equipo en el Directorio Activo (AD).

Nivel de riesgo

  • CVSS v3.1: 10.0 [Crítico]

Sistemas/tecnologías afectadas:

  • Windows Server 2008 R2
  • Windows Server 2012
  • Windows Server 2012 R2
  • Windows Server 2016
  • Windows Server 2019
  • Windows Server versión 1903
  • Windows Server versión 1909
  • Windows Server versión 2004

Medidas de erradicación

  • Aplicar las actualizaciones de seguridad liberadas por Microsoft.

Referencias