El nuevo exploit de Windows le permite convertirse en administrador al instante.  ¿Lo has corregido?

Los investigadores desarrollaron y publicaron un exploit de prueba de concepto para una vulnerabilidad de Windows recientemente corregida que podría permitir el acceso a las joyas de la corona de una organización: controladores de dominio de Active Directory que actúan como un poderoso guardián para todas las máquinas conectadas a una red.

CVE-2020-1472, a medida que se rastrea la vulnerabilidad, tiene una calificación de gravedad crítica de Microsoft, así como un máximo de 10 en el Sistema de puntuación de vulnerabilidad común. Las vulnerabilidades requieren que un atacante ya tenga un punto de apoyo dentro de una red objetivo, ya sea como un interno sin privilegios o comprometiendo un dispositivo conectado.

Un error «loco» con «gran impacto»

Estos exploits posteriores al compromiso se han vuelto cada vez más valiosos para los atacantes que distribuyen ransomware espía o software espía. Engañar a los empleados para que hagan clic en enlaces maliciosos y archivos adjuntos de correo electrónico es relativamente fácil. Usar estas computadoras comprometidas para obtener recursos más valiosos puede ser mucho más difícil.

A veces, puede llevar semanas o meses escalar los privilegios de bajo nivel a los necesarios para instalar malware o ejecutar comandos. Entra en Zerologon, un exploit desarrollado por investigadores de la empresa de seguridad Secura. Permite a los atacantes obtener instantáneamente el control de Active Directory. A partir de ahí, tendrán rienda suelta para hacer casi todo lo que quieran, desde agregar nuevos equipos a la red hasta infectar cada uno con el malware de su elección.

«Este ataque tiene un impacto enorme», escribieron los investigadores de Secura en un artículo publicado el viernes. “Básicamente, permite que cualquier atacante en la red local (como un interno malintencionado o alguien que simplemente conectó un dispositivo a un puerto de red local) comprometa completamente el dominio de Windows. El ataque no está completamente autenticado: el atacante no necesita ninguna credencial de usuario ”.

Los investigadores de Secura que descubrieron la vulnerabilidad y la informaron a Microsoft dijeron que desarrollaron un exploit que funciona de manera confiable, pero debido al riesgo, no lo lanzarán hasta que estén seguros de que el parche de Microsoft se ha instalado ampliamente en servidores vulnerables. . Los investigadores, sin embargo, advirtieron que no es difícil usar el parche de Microsoft para revertir y desarrollar un exploit. Mientras tanto, investigadores separados de otras compañías de seguridad han publicado sus propios códigos de ataque de prueba de concepto aquí, aquí y aquí.

El lanzamiento y la descripción del código de explotación rápidamente llamó la atención de la Agencia de Infraestructura y Seguridad Cibernética de EE. UU., Que trabaja para mejorar la seguridad cibernética en todos los niveles de gobierno. Twitter el lunes también fue explotando con comentarios comentando sobre la amenaza que representa la vulnerabilidad.

«Zerologon (CVE-2020-1472), ¡la vulnerabilidad más loca de todos los tiempos!» un usuario de Windows escribió. «Privilegios de administrador de dominio inmediatamente desde el acceso de red no autenticado al DC».

«¿Recuerda algo sobre el acceso menos privilegiado y que no importa si se abren pocas cajas?» Zuk Avraham, investigador fundador y director ejecutivo de la empresa de seguridad ZecOps, escribí. «Bueno … CVE-2020-1472 / #Zerologon básicamente cambiará de opinión».

Llaves del reino

Zerologon funciona enviando una secuencia de ceros en una serie de mensajes utilizando el protocolo Netlogon, del cual dependen los servidores de Windows para una variedad de tareas, incluida la posibilidad de que los usuarios finales inicien sesión en una red. Las personas sin autenticación pueden utilizar el exploit para obtener credenciales administrativas de dominio, siempre que los atacantes tengan la capacidad de establecer conexiones TCP con un controlador de dominio vulnerable.

La vulnerabilidad se debe a la implementación de Windows de AES-CFB8 o al uso del protocolo de cifrado AES con retroalimentación de cifrado para cifrar y validar los mensajes de autenticación a medida que pasan por la red interna.

Para que el AES-CFB8 funcione correctamente, los llamados vectores de inicialización deben ser únicos y generados aleatoriamente con cada mensaje. Windows no cumplió con este requisito. Zerologon aprovecha esta omisión enviando mensajes desde Netlogon que incluyen ceros en varios campos cuidadosamente seleccionados. El artículo de Secura ofrece una inmersión profunda en la causa de la vulnerabilidad y el enfoque de cinco pasos para explotarla.

En un comunicado, Microsoft escribió: «Se lanzó una actualización de seguridad en agosto de 2020. Los clientes que apliquen la actualización, o que tengan habilitadas las actualizaciones automáticas, estarán protegidos».

Como se mencionó en algunos comentarios de Twitter, algunos oponentes tienden a minimizar la gravedad, diciendo que cada vez que los atacantes se apoderan de una red, el juego termina.

Este argumento está en desacuerdo con el principio de defensa en profundidad, que aboga por la creación de múltiples capas de defensa que anticipen las infracciones exitosas y creen redundancias para mitigarlas.

Es comprensible que los administradores sean cautelosos al instalar actualizaciones que afectan a componentes de red tan sensibles como los controladores de dominio. En este caso, puede haber más riesgo de no instalar que de instalar antes de lo que le gustaría. Las organizaciones con servidores vulnerables deben reunir todos los recursos que necesitan para asegurarse de que este parche se instale lo antes posible.