TLP: Amber
NIVEL DE RIESGO – CVSS v3.1: 10.0 [Crítico]
Acción Requerida: Aplicar las actualizaciones publicadas por Microsoft a los productos afectados.
Vector de ataque: Remoto.
Impacto: Elevación de privilegios.

Descripción

Expertos en seguridad han identificado una serie de ataques denominados “ZeroLogon” que intentan aprovechar una vulnerabilidad presente en sistemas Windows Server, la cual fue corregida el pasado 11 de agosto del año en curso y tiene asignada el identificador CVE-2020-1472 (CVSS v3.1 10.0 [Crítico]).

Esta vulnerabilidad permite a los usuarios malintencionados hacer una elevación de privilegios en el servicio Netlogon, un mecanismo de autenticación que verifica las solicitudes de inicio de sesión en Windows.

Lo anterior se debe a una falta de autenticación criptográfica que utiliza el protocolo Remoto Netlogon, el atacante puede enviar una solicitud especialmente diseñada, utilizando MS-NRPC (Netlogon Remote Protocol) para conectarse a un controlador de dominio y obtener acceso de administrador.

Un atacante puede falsificar un token para Netlogon y llamar a una función específica para establecer una nueva contraseña y con ello poder tomar el controlador de dominio, robar credenciales de acceso, hacerse pasar por cualquier equipo del dominio, deshabilitar funciones de seguridad de Netlogon y cambiar contraseñas de un equipo en el Directorio Activo (AD).

Además de lo anterior, los expertos también aseguran que un ataque de ZeroLogon se podría usar para la entrega de otros programas maliciosos, por ejemplo ransomware, sin embargo, es importante mencionar que para que este ataque sea exitoso es necesario que el usuario malicioso tenga acceso a la red objetivo.

Cabe mencionar que en Internet se ha publicado un programa que aprovecha esta falla y puede ser consultado en la siguiente URL:

Nivel de riesgo

  • CVSS v3.1: 10.0 [Crítico]

Sistemas/tecnologías afectadas:

  • Windows Server 2008 R2
  • Windows Server 2012
  • Windows Server 2012 R2
  • Windows Server 2016
  • Windows Server 2019
  • Windows Server versión 1903
  • Windows Server versión 1909
  • Windows Server versión 2004

Medidas de erradicación

  • Aplicar las actualizaciones de seguridad liberadas por Microsoft.

Referencias