TLP: Amber
NIVEL DE RIESGO – CVSS v3.1: 10.0 [Crítico]
Acción Requerida: Aplicar las actualizaciones publicadas por Microsoft a los productos afectados.
Vector de ataque: Remoto.
Impacto: Elevación de privilegios.

Descripción

El Departamento de Seguridad del gobierno de Estados Unidos ha emitido una alerta solicitando a las instituciones actualizar sus servidores Windows para evitar ser vulnerables a la falla con el identificador CVE-2020-1472 (CVSS v3.1 10.0 [Crítico]).

La alerta fue publicada como una “directiva de emergencia”, el cual es un mecanismo legal donde el gobierno de Estados Unidos puede obligar a las agencias federales a realizar algunas acciones cuando identifique una vulnerabilidad o incidente que represente una amenaza para la seguridad de una institución, y por tal motivo las agencias federales están obligadas a cumplir con estas directivas.

Esta vulnerabilidad permite a los usuarios malintencionados hacer una elevación de privilegios en el servicio Netlogon, un mecanismo de autenticación que verifica las solicitudes de inicio de sesión en Windows. Esto se debe a una falta de autenticación criptográfica que utiliza el protocolo Remoto Netlogon, el atacante puede enviar una solicitud especialmente diseñada, utilizando MS-NRPC (Netlogon Remote Protocol) para conectarse a un controlador de dominio y obtener acceso de administrador.

Un atacante que aproveche el fallo puede robar credenciales de acceso, hacerse pasar por cualquier equipo del dominio, deshabilitar funciones de seguridad de Netlogon y cambiar contraseñas de un equipo en el Directorio Activo (AD). También los expertos aseguran que un atacante podría aprovechar el fallo para la entrega de otros programas maliciosos, por ejemplo ransomware.

Además, la agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) ha determinado que esta falla de seguridad representa un riesgo inaceptable para las organizaciones ya que la disponibilidad de código para aprovecharla se encuentra pública en Internet y esto aumenta la probabilidad de que un atacante aproveche el fallo.

A continuación, se listan las acciones publicadas por CISA en la directiva de emergencia:

  1. Actualizar todos los servidores Windows con la función de controlador de dominio antes de las 11:59 pm EDT del lunes 21 de septiembre de 2020.
    1. Si los controladores de dominio afectados no se pueden actualizar, considerar eliminarlos de la red.
    2. Implementar controles técnicos y/o de administración para garantizar que los servidores de controlador de dominio desconectados o eliminados se actualicen antes de conectarse a la red.
    3. CISA recomienda que las agencias verifiquen que la actualización se implementó correctamente.
  2. Enviar un informe de finalización donde se reporte a CISA que la actualización se ha aplicado a todos los servidores afectados. Esto se debe realizar antes del miércoles 23 de septiembre de 2020 a las 11:59 pm EDT.

Nivel de riesgo

  • CVSS v3.1: 10.0 [Crítico]

Sistemas/tecnologías afectadas:

  • Windows Server 2008 R2
  • Windows Server 2012
  • Windows Server 2012 R2
  • Windows Server 2016
  • Windows Server 2019
  • Windows Server versión 1903
  • Windows Server versión 1909
  • Windows Server versión 2004

Medidas de erradicación

  • Aplicar las actualizaciones de seguridad liberadas por Microsoft de Windows Server el 11 de agosto de 2020.
  • Desconectar o considerar eliminar de la red aquellos sistemas que no puedan ser actualizados.

Referencias