Zerologon: el bug en Windows Server que debes parchear ya

En la clasificación de riesgos que concede Microsoft a los problemas de seguridad, Zerologon ha obtenido un 10 sobre 10, la nota máxima. Solo sabiendo esto, ya tenemos razones más que suficientes para dejar cualquier otra cosa que estemos haciendo y acudir, de inmediato, a instalar los parches que, afortunadamente, ya se han publicado, y que permiten solucionar el problema, el gran problema que supone este agujero de seguridad que se hizo público el pasado viernes.

Hablamos, como ya habrás deducido por el título, de una vulnerabilidad que afecta a múltiples versiones de Windows Server, identificado con el código CVE-2020-1472 y para el que Microsoft ya ha publicado actualizaciones de seguridad con las que solventar el problema. Revisando la lista, vemos que Zerologon afecta a versiones de Windows Server desde 2008 hasta 2019 May 2020 Update (2004). Sí, es un problema que afecta al sistema operativo para servidores de Microsoft, pero que hasta ahora no había sido detectado. Un recordatorio más de lo difícil que es, en ocasiones, detectar problemas de seguridad en el software.

El hallazgo fue hecho por la compañía de ciberseguridad Secura, que ha publicado un documento en el que explica la naturaleza de Zerologon y, lo que es aún más importante, los riesgos que plantea esta amenaza y que, de manera muy resumida, se traducen en que un atacante puede, desde cero, simplemente estando en la red local en la que se encuentra el servidor, escalar privilegios hasta convertirse en administrador del dominio gestionado en la máquina atacada.

Zerologon se basa en fallos en la implementación del cifrado en Netlogon, el proceso de Windows Server que autentica a los usuarios y otros servicios dentro de un dominio. Un elemento clave, por lo tanto, en la seguridad del servidor, y que al verse comprometido, pone en jaque la seguridad de todo el sistema. Y por si te estás preguntando por su complejidad, así describen Zerologon, de manera resumida, los investigadores de Secura:

By simply sending a number of Netlogon messages in which various fields are filled with zeroes, an attacker can change the computer password of the domain controller that is stored in the AD. This can then be used to obtain domain admin credentials and then restore the original DC password.

Sï, has leído bien, lo que revela Zerologon es que solo son necesarios unos cuantos mensajes elaborados de una manera específica, con varios campos llenos con ceros, para poder modificar la contraseña del controlador de dominio. A partir de ahí, claro, el potencial atacante puede elevar los privilegios de su propia cuenta (o de cualquier otra que quiera emplear) y luego, para evitar generar sospechas, solo tendrá que restituir la contraseña anterior para que el administrador legítimo del dominio no encuentre nada raro.

Debido a su peligrosidad, son varias las instituciones oficiales que, como la US Cybersecurity and Infrastructure Security Agency (CISA), han emitido directivas de emergencia, urgiendo a la actualización de todas las instalaciones de Windows Server que se puedan ver afectadas por Zerologon. En la misma, en la misma, podemos leer lo siguiente:

CISA [Cybersecurity and Infrastructure Security Agency] has determined that this vulnerability poses an unacceptable risk to the Federal Civilian Executive Branch and requires an immediate and emergency action

This emergency directive requires the following actions:

Update all Windows Servers with the domain controller role by 11:59 PM EDT, Monday, September 21, 2020,

a. Apply the August 2020 Security Update to all Windows Servers with the domain controller role. If affected domain controllers cannot be updated, ensure they are removed from the network.

b. By 11:59 PM EDT, Monday, September 21, 2020, ensure technical and/or management controls are in place to ensure newly provisioned or previously disconnected domain controller servers are updated before connecting to agency networks.

Es tremendamente inusual que, más allá de emitir recomendaciones o indicaciones de seguridad, el Departamento de Seguridad Interior (DHS) imponga plazos, y tan estrictos, para que todas las agencias federales actualicen sus sistemas. Esta es una señal más, y muy clara, de los riesgos asociados a Zerologon, y mucho más todavía ahora que ya se ha hecho público y con total seguridad, una legión de ciberdelincuentes estará realizando las primeras pruebas para intentar explotar esta vulnerabilidad.

Sea como fuere, cualquier administrador del que dependa un servidor con Windows Server entre 2008 y 2019 May Update (2004) debería aplicar hoy mismo el parche de seguridad que acaba con Zerologon. Si es tu caso, te recomendamos encarecidamente que lo hagas a la mayor brevedad.

La entrada Zerologon: el bug en Windows Server que debes parchear ya es original de MuySeguridad. Seguridad informática.