CVE-2020-1472 | Vulnerabilidad de elevación de privilegios de Netlogon.

Microsoft advirtió hoy que los actores de amenazas continúan explotando activamente los sistemas no parcheados contra la vulnerabilidad de escalada de privilegios ZeroLogon en Netlogon Remote Protocol (MS-NRPC).

«Microsoft ha recibido una pequeña cantidad de informes de clientes y otras personas sobre la actividad continua que explota una vulnerabilidad que afecta al protocolo Netlogon (CVE-2020-1472) que se abordó previamente en las actualizaciones de seguridad a partir del 11 de agosto de 2020», dijo el vicepresidente de ingeniería de MSRC en Aanchal. Dijo Gupta.

En los dispositivos de Windows Server donde la vulnerabilidad no fue parcheada, los atacantes pueden falsificar una cuenta de controlador de dominio para robar credenciales de dominio y apoderarse de todo el dominio luego de una explotación exitosa.

«Recomendamos encarecidamente a cualquier persona que no haya aplicado la actualización que dé este paso ahora. Los clientes deben aplicar la actualización y seguir la guía original como se describe en  KB4557222  para asegurarse de que están completamente protegidos de esta vulnerabilidad», agregó Gupta .

La vulnerabilidad de Windows Zerologon

Zerologon  es una falla crítica que permite a los atacantes elevar los privilegios a un administrador de dominio, lo que les permite tomar el control total de todo el dominio, cambiar la contraseña de cualquier usuario y ejecutar cualquier comando arbitrario.

Microsoft está implementando la solución para Zerologon en dos etapas, ya que puede hacer que algunos de los dispositivos afectados pasen por varios problemas de autenticación.

Debido a que la documentación inicial con respecto al parche de Zerologon era confusa, Microsoft aclaró los pasos que los administradores deben seguir para proteger los dispositivos contra ataques que utilizan vulnerabilidades de Zerologon el 29 de septiembre.

El plan de actualización descrito por Microsoft incluye las siguientes acciones:

  1. ACTUALICE sus controladores de dominio con una actualización publicada el 11 de agosto de 2020 o posterior.
  2. ENCUENTRE qué dispositivos están haciendo conexiones vulnerables mediante la supervisión de los registros de eventos.
  3. DIRIGIR dispositivos no compatibles que hacen conexiones vulnerables.
  4. HABILITE el modo de ejecución para abordar CVE-2020-1472  en su entorno.

Actividad previa de explotación de Zerologon

Microsoft  emitió una advertencia similar en septiembre, instando a los administradores de TI en ese momento a aplicar las actualizaciones de seguridad emitidas como parte del martes de parches de agosto de 2020  para proteger sus redes contra ataques que aprovechan las vulnerabilidades públicas de ZeroLogon.

Una semana después, Cisco Talos también advirtió sobre «un aumento en los intentos de explotación contra la vulnerabilidad de Microsoft CVE-2020-1472, un error de elevación de privilegios en Netlogon».

El grupo de piratería MuddyWater respaldado por Irán (también conocido como SeedWorm y MERCURY) también  comenzó a abusar de la falla a partir de la segunda quincena de septiembre.

TA505 (también conocido como Chimborazo), un grupo de amenazas con motivaciones financieras conocido por distribuir el troyano bancario Dridex desde 2014 y por proporcionar un vector de implementación para el ransomware Clop en etapas posteriores de sus ataques, también fue detectado por Microsoft  explotando la vulnerabilidad ZeroLogon a  principios de este mes.

El 18 de septiembre, la Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA) exigió  al Poder Ejecutivo Federal Civil que tratara el proceso de parcheo de ZeroLogon como «una acción inmediata y de emergencia».

Fuente y redacción: bleepingcomputer.com

Compartir