En agosto, durante el Patch Tuesday, Microsoft cerró varias vulnerabilidades, entre ellas la CVE-2020-1472. La vulnerabilidad en el protocolo Netlogon se catalogó con un nivel de gravedad “crítico” (su puntuación CVSS alcanzó la máxima, de 10.0). No había duda de que suponía una amenaza, pero el otro día, el investigador de Secura, Tom Tervoort (quien la descubrió), publicó un informe detallado que explicaba por qué la vulnerabilidad, conocida como Zerologon, es tan peligrosa y cómo se puede utilizar para secuestrar un controlador de dominio.
A todo esto, ¿qué es Zerologon?
En resumen, la CVE-2020-1472 es el resultado de un error en la estrategia de autentificación criptográfica del protocolo remoto de Netlogon. Este protocolo autentifica a los usuarios y los equipos en redes basadas en dominios y también se utiliza para actualizar las contraseñas del ordenador en remoto. Mediante la vulnerabilidad, un atacante puede hacerse pasar por un ordenador cliente y sustituir la contraseña de un controlador de dominio (un servidor que controla una red al completo y ejecuta los servicios del Directorio Activo), que le permite al atacante hacerse con los derechos de administrador del dominio.
¿Quién es vulnerable?
El CVE-2020-1472 supone un riesgo para las empresas cuyas redes están basadas en controladores de dominio que se ejecuten con Windows. En concreto, los ciberdelincuentes pueden secuestrar un controlador de dominio basado en cualquier versión de Windows Server 2019 o de Windows Server 2016, así como cualquier edición de Windows Server versión 1909, Windows Server versión 1903, Windows Server versión 1809 (ediciones Datacenter y Standard), Windows Server 2012 R2, Windows Server 2012 o Windows Server 2008 R2 Service Pack 1. Para atacar, primero necesitarían penetrar en la red corporativa, pero ese no es el mayor problema; se conocen de sobra los ataques internos y la penetración a través de los conectores Ethernet en instalaciones accesibles al público.
Afortunadamente, aún no se ha usado Zerologon en un ataque en el mundo real (o, por lo menos, no hemos tenido noticias). Sin embargo, el informe de Tervoort ha generado un gran revuelo y es muy probable que haya atraído la atención de los ciberdelincuentes. Ahora bien, aunque los investigadores no publicaron una prueba de concepto operativa, no dudan de que un atacante pueda crear una basándose en los parches.
Cómo protegerse contra los ataques de Zerologon
A principios de agosto de este año, Microsoft publicó parches para cerrar la vulnerabilidad en todos los sistemas afectados; si aún no has realizado la actualización, es hora de hacerlo. Además, la empresa recomienda monitorizar cualquier intento de inicio de sesión que se haga mediante las versiones vulnerables del protocolo y los dispositivos de identificación que no sean compatibles con la nueva versión. De acuerdo con Microsoft, la mejor opción es que el controlador de dominio se configure de tal forma que todos los dispositivos utilicen la versión segura de Netlogon.
Las actualizaciones no obligan a cumplir con esta restricción porque el protocolo remoto de Netlogon no solo se utiliza en Windows; muchos dispositivos basados en otros sistemas operativos también utilizan este protocolo. Si haces obligatorio su uso, los dispositivos que no sean compatibles con la versión segura, no funcionarán correctamente.
Sin embargo, a partir del 9 de febrero del 2021, se exigirá que los controladores de dominio se usen así (es decir, obligarán a todos los dispositivos a utilizar la versión actualizada y segura de Netlogon), por lo que los administradores tendrán que solucionar por adelantado el problema de cumplimiento de los dispositivos de terceros (ya sea actualizándolos o agregándolos manualmente como excepciones). Para más información sobre el parche de agosto y lo cambios de febrero, además de unas directrices específicas, consulta la publicación de Microsoft.