Descripción
Microsoft ha emitido una alerta comunicando a sus clientes acerca de que el grupo de usuarios maliciosos de Irán, conocido como “MuddyWater”, están aprovechando la falla de seguridad CVE-2020-1472 (CVSS v3.1 10.0 [Crítico]), también conocida como Zerologon.
Esta vulnerabilidad permite a los usuarios malintencionados hacer una elevación de privilegios en el servicio Netlogon, un mecanismo de autenticación que verifica las solicitudes de inicio de sesión en Windows.
Lo anterior se debe a una falta de autenticación criptográfica que utiliza el protocolo Remoto Netlogon, el atacante puede enviar una solicitud especialmente diseñada, utilizando MS-NRPC (Netlogon Remote Protocol) para conectarse a un controlador de dominio y obtener acceso de administrador, sin requerir autenticación.
Un atacante puede falsificar un token para Netlogon y llamar a una función específica para establecer una nueva contraseña y con ello poder tomar el controlador de dominio, robar credenciales de acceso, hacerse pasar por cualquier equipo del dominio, deshabilitar funciones de seguridad de Netlogon y cambiar contraseñas de un equipo en el Directorio Activo (AD).
Nivel de riesgo
- CVSS v3.1: 10.0 [Crítico]
Sistemas/tecnologías afectadas:
- Windows Server 2008 R2
- Windows Server 2012
- Windows Server 2012 R2
- Windows Server 2016
- Windows Server 2019
- Windows Server versión 1903
- Windows Server versión 1909
- Windows Server versión 2004
Medidas de erradicación
- Aplicar las actualizaciones de seguridad liberadas por Microsoft.
Referencias