El nuevo exploit de Windows le permite convertirse instantáneamente en administrador. ¿Has parcheado?

Un hombre vestido informalmente sonríe junto a los componentes de la computadora expuestos.

Los investigadores han desarrollado y publicado un exploit de prueba de concepto para una vulnerabilidad de Windows recientemente parcheada que puede permitir el acceso a las joyas de la corona de una organización: los controladores de dominio de Active Directory que actúan como un guardián todopoderoso para todas las máquinas conectadas a una red.

CVE-2020-1472, como se rastrea la vulnerabilidad, lleva un calificación de gravedad crítica de Microsoft, así como un máximo de 10 según el Sistema de puntuación de vulnerabilidad común. Los exploits requieren que un atacante ya tenga un punto de apoyo dentro de una red objetivo, ya sea como un interno sin privilegios o mediante el compromiso de un dispositivo conectado.

Un error “loco” con “gran impacto”

Estos exploits posteriores al compromiso se han vuelto cada vez más valiosos para los atacantes que promueven el ransomware o el software espía de espionaje. Engañar a los empleados para que hagan clic en enlaces y archivos adjuntos maliciosos en el correo electrónico es relativamente fácil. Usar esas computadoras comprometidas para cambiar a recursos más valiosos puede ser mucho más difícil.

A veces, puede llevar semanas o meses escalar los privilegios de bajo nivel a los necesarios para instalar malware o ejecutar comandos. Ingrese a Zerologon, un exploit desarrollado por investigadores de la firma de seguridad Secura. Permite a los atacantes obtener instantáneamente el control de Active Directory. A partir de ahí, tendrán rienda suelta para hacer casi cualquier cosa que quieran, desde agregar nuevas computadoras a la red hasta infectar cada una con el malware de su elección.

“Este ataque tiene un impacto enorme”, escribieron los investigadores de Secura en un libro blanco publicado el viernes. “Básicamente, permite que cualquier atacante de la red local (como un interno malintencionado o alguien que simplemente conectó un dispositivo a un puerto de red local) comprometa completamente el dominio de Windows. El ataque no está completamente autenticado: el atacante no necesita ninguna credencial de usuario “.

Los investigadores de Secura que descubrieron la vulnerabilidad y la informaron a Microsoft dijeron que desarrollaron un exploit que funciona de manera confiable, pero dado el riesgo, no lo lanzarán hasta que estén seguros de que el parche de Microsoft se ha instalado ampliamente en servidores vulnerables. Sin embargo, los investigadores advirtieron que no es difícil usar el parche de Microsoft para trabajar al revés y desarrollar un exploit. Mientras tanto, investigadores independientes de otras empresas de seguridad han publicado su propio código de ataque de prueba de concepto. aquí, aquíy aquí.

La liberación y descripción del código de explotación rápidamente llamó la atención de la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU., que trabaja para mejorar la seguridad cibernética en todos los niveles de gobierno. Twitter el lunes también fue explotando con comentarios comentando la amenaza que representa la vulnerabilidad.

“Zerologon (CVE-2020-1472), ¡la vulnerabilidad más loca de la historia!” un usuario de Windows escribió. “Privilegios de administrador de dominio inmediatamente desde el acceso de red no autenticado a DC”.

“¿Recuerda algo sobre el acceso con privilegios mínimos y que no importa si se abren algunas casillas?” Zuk Avraham, investigador fundador y director ejecutivo de la firma de seguridad ZecOps, escribió. “Oh, bueno … CVE-2020-1472 / #Zerologon básicamente te hará cambiar de opinión”.

Llaves del reino

Zerologon funciona enviando una cadena de ceros en una serie de mensajes que utilizan el Protocolo de Netlogon, en el que confían los servidores de Windows para una variedad de tareas, incluida la posibilidad de que los usuarios finales inicien sesión en una red. Las personas sin autenticación pueden utilizar el exploit para obtener credenciales administrativas de dominio, siempre que los atacantes tengan la capacidad de establecer conexiones TCP con un controlador de dominio vulnerable.

La vulnerabilidad se debe a la implementación de Windows de AES-CFB8, o al uso del protocolo de criptografía AES con retroalimentación de cifrado para cifrar y validar mensajes de autenticación a medida que atraviesan la red interna.

Para que AES-CFB8 funcione correctamente, los llamados vectores de inicialización deben ser únicos y generados aleatoriamente con cada mensaje. Windows no cumplió con este requisito. Zerologon aprovecha esta omisión enviando mensajes de Netlogon que incluyen ceros en varios campos cuidadosamente seleccionados. El artículo de Secura ofrece un análisis profundo de la causa de la vulnerabilidad y el enfoque de cinco pasos para explotarla.

En un comunicado, Microsoft escribió: “Se lanzó una actualización de seguridad en agosto de 2020. Los clientes que apliquen la actualización o tengan habilitadas las actualizaciones automáticas, estarán protegidos”.

Como se aludió en algunos de los comentarios de Twitter, es probable que algunos detractores minimicen la gravedad diciendo que, cada vez que los atacantes logran un punto de apoyo en una red, ya se acaba el juego.

Ese argumento está en desacuerdo con el principio de defensa en profundidad, que aboga por la creación de múltiples capas de defensa que anticipen las violaciones exitosas y creen redundancias para mitigarlas.

Es comprensible que los administradores sean cautelosos al instalar actualizaciones que afecten a componentes de red tan sensibles como los controladores de dominio. En este caso, puede haber más riesgo en no instalar que instalar antes de lo que uno quisiera. Las organizaciones con servidores vulnerables deben reunir todos los recursos que necesiten para asegurarse de que este parche se instale lo antes posible.

Recent Articles

Google exige su recorte del 30% a los desarrolladores de aplicaciones en Play Store

OAKLAND, Calif. - Google dijo que ya no permitiría que algunas aplicaciones eluden su sistema de pago dentro de la tienda Google Play que...

Among Us está detrás de un gran aumento en las descargas de aplicaciones móviles de Discord

El sorprendente éxito del juego de InnerSloth Entre nosotros fue una de las historias más importantes de Twitch que sucedió este verano:...

Detalles de Crown Tundra de Pokemon Sword and Shield se revelan mañana

Se espera que The Crown Tundra se lance en los próximos meses (Foto: Game Freak)Mañana se estrenará en YouTube una salvaje presentación de Pokémon...

Damian Rogers le prometió a su madre que no contaría su historia; cuando terminó, “ya no sabía quién era yo”.

Damian Rogers se sintió como un detective cuando crecía en Detroit con su madre, Joanna. “Ella me veía como alguien que sentía la necesidad...

Uber puede seguir operando en Londres, dice juez

Un juez del Reino Unido revocó el lunes una decisión del regulador local de transporte en noviembre de 2019 de desnudar Uber de su...

Related Stories

DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí