¡CUIDADO! Se ha encontrado una vulnerabilidad crítica en Windows Server

Si tienes el sistema Windows Server en tu organización, debes actualizarlo cuanto antes con los últimos parches de Microsoft. Se ha descubierto una vulnerabilidad crítica en este sistema operativo Windows Server desde la versión 2008 hasta las últimas versiones disponibles, es decir, afecta a todas y cada una de las versiones de Microsoft. Esta vulnerabilidad tiene una criticidad de 10.0, además, ya hay PoC que permiten explotar esta vulnerabilidad fácilmente.

Versiones de Microsoft Windows Server afectadas por Zerologon

La vulnerabilidad denominada Zerologon fue solucionada por Microsoft en su boletín de seguridad el pasado mes de agosto, pero es ahora cuando se ha hecho pública para dar un tiempo prudencial a los administradores de sistemas para instalar estos parches y comprobar que funciona todo correctamente. Microsoft lanzó un aviso de seguridad el día 11 de agosto de 2020 confirmando la vulnerabilidad descubierta en todas las versiones de Windows:

• Windows Server 2008 R2 for x64-based Systems Service Pack 1
• Windows Server 2012
• Windows Server 2012 (Server Core installation)
• Windows Server 2012 R2
• Windows Server 2012 R2 (Server Core installation)
• Windows Server 2016
• Windows Server 2016 (Server Core installation)
• Windows Server 2019
• Windows Server 2019 (Server Core installation)
• Windows Server, version 1903 (Server Core installation)
• Windows Server, version 1909 (Server Core installation)
• Windows Server, version 2004 (Server Core installation)

¿En qué consiste esta vulnerabilidad crítica?

Esta vulnerabilidad catalogada como crítica 10/10, afecta directamente a los controladores de dominio (DC) de los directorios activo (AD). Debido a un error en la implementación incorrecta de AES-CFB8 en el protocolo Netlogon, un atacante podría establecer una nueva contraseña sin más requisitos, y todo ello para tomar el control completo del DC y hacerse con las credenciales de usuario administrador. El fallo se ubica en el protocolo de enlace de autenticación inicial, ya que se omite la autenticación de manera general, por tanto, un atacante únicamente tiene que establecer una conexión TCP con un controlador de dominio vulnerable, simplemente con estar dentro de la red local sería suficiente para explotar este fallo, ya que no requiere ningún tipo de credencial de dominio.

Debido a este error en la implementación de AES, se puede obtener el control del DC por completo, y establecer una contraseña vacía en el dominio. Debido a la ausencia de autenticación a la hora de explotar este fallo de seguridad, se le ha denominado a esta vulnerabilidad «Zerologon».

El grupo de investigadores de seguridad han publicado una prueba de concepto (PoC) donde se puede explotar esta vulnerabilidad, y comprobar si un sistema operativo está parcheado contra este fallo de seguridad, o aún no lo está. Según la escala de CVSSv3, este fallo de seguridad tiene criticidad máxima 10.0, ya que simplemente necesitamos tener «visibilidad» del controlador de dominio, por tanto, con estar dentro de la red es suficiente.

¿Cómo puedo solucionar esta vulnerabilidad en mi Windows Server?

Para solucionar esta vulnerabilidad debes actualizar todos los controladores de dominio del AD (Active Directory) de tu organización, a continuación, podéis visitar el enlace directo al parche de Zerologon proporcionado por la propia Microsoft, donde se indica que la vulnerabilidad es crítica y que es recomendable instalarlo cuanto antes. Es fundamental parchear los sistemas operativos cuanto antes para evitar la explotación de esta vulnerabilidad por parte de usuarios malintencionados, además, Microsoft ha publicado un tutorial para ayudar a los sysadmin a actualizar sus sistemas y a configurar correctamente el sistema.

Os recomendamos acceder al paper en PDF de la vulnerabilidad Zerologon donde encontraréis en detalle el funcionamiento de este fallo de seguridad tan grave.

El artículo ¡CUIDADO! Se ha encontrado una vulnerabilidad crítica en Windows Server se publicó en RedesZone.