Microsoft recuerda a las organizaciones la próxima fase para parchear la vulnerabilidad de Zerologon

Microsoft publicó  un recordatorio para las organizaciones de que una actualización de seguridad del 9 de febrero iniciará la segunda fase de parcheo para la vulnerabilidad de Zerologon.

Rastreado como CVE-2020-1472 y abordado en  agosto de 2020 , la vulnerabilidad crítica se identificó en el Protocolo remoto de Microsoft Windows Netlogon (MS-NRPC) y se puede abusar para comprometer los controladores de dominio de Active Directory y obtener acceso de administrador.

La vulnerabilidad, que puede ser explotada por atacantes no autenticados capaces de ejecutar una aplicación especialmente diseñada en un dispositivo de la red, se convirtió en el centro de atención en septiembre, después de que el Departamento de Seguridad Nacional (DHS) le dijera a las agencias federales que aplicaran parches de inmediato.

Poco después se observaron ataques dirigidos a la vulnerabilidad y Microsoft emitió una guía sobre cómo las organizaciones pueden proteger los sistemas afectados por el error. Sin embargo, continuaron los ataques contra Zerologon.

Microsoft les dijo a los clientes que el parche para esta vulnerabilidad se realizaría en dos etapas: la implementación de los parches del 11 de agosto y una fase de aplicación que comenzaría el 9 de febrero de 2021.

Ahora, la compañía recuerda a las organizaciones la próxima transición a la etapa de cumplimiento, que comenzará el martes de parches de febrero de 2021.

“Les recordamos a nuestros clientes que a partir del lanzamiento de la Actualización de seguridad del 9 de febrero de 2021 habilitaremos el modo de aplicación del controlador de dominio de forma predeterminada. Esto bloqueará las conexiones vulnerables de los dispositivos no compatibles ”, señala Microsoft.

Con el modo de cumplimiento de DC habilitado, todos los dispositivos Windows y no Windows deberán usar RPC seguro con el canal seguro de Netlogon. Sin embargo, los clientes tendrán la opción de agregar excepciones para dispositivos no compatibles, incluso si eso haría que sus cuentas fueran vulnerables.

En preparación para la fase del modo de aplicación, las organizaciones deben aplicar el parche disponible a todos los controladores de dominio y deben identificar y resolver los dispositivos que no cumplen para asegurarse de que no hagan conexiones vulnerables.

También pueden habilitar el modo de aplicación del controlador de dominio en sus entornos antes de la actualización del 9 de febrero.