Ataque Zerologon permite a los ciberdelincuentes comprometer un dominio de Windows

Microsoft corrigió un error grave en agosto que los investigadores denominaron Zerologon, que cuando se explota podría permitir a los atacantes hacerse cargo de los servidores Windows que se ejecutan como controladores de dominio en redes empresariales.

El error que se ha rastreado como falla CVE-2020-1472 es una elevación de privilegios que reside en Netlogon, que es un mecanismo de autenticación utilizado en la arquitectura de autenticación de clientes de Windows que verifica las solicitudes de inicio de sesión y registra, autentica y ubica los controladores de dominio. 

Según un aviso publicado por Microsoft, existe una vulnerabilidad de elevación de privilegios cuando un atacante establece una conexión de canal seguro Netlogon vulnerable a un controlador de dominio, utilizando el Protocolo remoto de Netlogon (MS-NRPC). Un atacante que aprovechara con éxito la vulnerabilidad podría ejecutar una aplicación especialmente diseñada en un dispositivo de la red.

Si bien Microsoft no reveló detalles técnicos de la vulnerabilidad debido a la gravedad del problema (puntuación CVSSv3: 10.0), los investigadores de Secura BV publicaron un análisis detallado de la falla.

  • Suplantar la identidad de cualquier computadora en una red al intentar autenticarse contra el controlador de dominio.
  • Deshabilitar las funciones de seguridad en el proceso de autenticación de Netlogon.
  • Cambiar la contraseña de una computadora en el Active Directory del controlador de dominio (una base de datos de todas las computadoras unidas a un dominio y sus contraseñas).

“Simplemente enviando una serie de mensajes de Netlogon en los que varios campos se llenan con ceros, un atacante puede cambiar la contraseña de la computadora del controlador de dominio que está almacenado en el AD. Esto se puede usar para obtener las credenciales de administrador del dominio y luego restaurar la contraseña de DC original», concluye el trabajo de investigación.

“Este ataque tiene un gran impacto: básicamente permite que cualquier atacante en la red local (como un interno malintencionado o alguien que simplemente conectó un dispositivo a un puerto de red local) comprometa completamente el dominio de Windows. El ataque no está completamente autenticado».

Los actores de amenazas podrían aprovechar el ataque ZeroLogon para entregar malware y ransomware en la red objetivo.

La única limitación sobre cómo llevar a cabo un ataque Zerologon es que el atacante debe tener acceso a la red objetivo.

Los investigadores de Secura lanzaron un script de Python que usa la biblioteca Impacket para probar la vulnerabilidad del exploit Zerologon, los administradores podrían usarlo para determinar si su controlador de dominio sigue siendo vulnerable.

Las actualizaciones de seguridad del martes de parches de agosto de 2020 solo abordan temporalmente la vulnerabilidad que hace que las características de seguridad de Netlogon sean obligatorias para el proceso de autenticación de Netlogon.

Microsoft planea lanzar un parche completo en febrero de 2021.