En septiembre se había confirmado que los controladores de dominio Samba anteriores a 4.8 son vulnerables a CVE-2020-1472, una vulnerabilidad de escalada de privilegios CVSS-10 en el proceso de autenticación Netlogon de Microsoft que los autores del documento bautizaron como «Zerologon».
Ahora ya hay varios exploits y PoC públicos disponibles, la mayoría, si no todos, son modificaciones al PoC original de Secura construido en Impacket. Hay informes sobre la explotación activa de la vulnerabilidad e incluso para propagar ransomware.
Además, Benjamin Delpy (aka @gentilkiwi) el creador de la popular herramienta de post-explotación Mimikatz también ha anunciado una nueva versión de la herramienta que integra el soporte de detección y explotación de Zerologon.
Varios hilos sobre los rastros de explotación y las reglas de detección de la comunidad también han llamado la atención de investigadores e ingenieros de seguridad.
La vulnerabilidad, que se solucionó parcialmente en el lanzamiento del martes de parches de agosto de 2020 de Microsoft, surge de una falla en la implementación criptográfica del protocolo Netlogon, específicamente en su uso del cifrado AES-CFB8. El impacto de una explotación exitosa es enorme: la falla permite el control total de los dominios de Active Directory al comprometer los servidores de Windows que se ejecutan como controladores de dominio; en palabras de Secura, lo que permite que «un atacante con un punto de apoyo en su red interna se convierta esencialmente en administrador de dominio con un solo clic. Todo lo que se requiere es que una conexión con el controlador de dominio sea posible desde el punto de vista del atacante«.
Esta conexión RPC se puede realizar directamente o mediante SMB a través de canalizaciones con nombre. El blog de Secura incluye código de prueba de concepto (PoC) que realiza la omisión de autenticación y se puede convertir fácilmente en un arma para su uso en operaciones de atacantes, incluido el ransomware y la propagación de otro malware.
Products afectados
- Windows Server 2008 R2 for x64-based Systems Service Pack 1
- Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
- Windows Server 2012
- Windows Server 2012 (Server Core installation)
- Windows Server 2012 R2
- Windows Server 2012 R2 (Server Core installation)
- Windows Server 2016
- Windows Server 2016 (Server Core installation)
- Windows Server 2019
- Windows Server 2019 (Server Core installation)
- Windows Server, version 1903 (Server Core installation)
- Windows Server, version 1909 (Server Core installation)
- Windows Server, version 2004 (Server Core installation)
Se insta a las organizaciones que aún no hayan aplicado las actualizaciones de seguridad de Microsoft del 11 de agosto de 2020 a que consideren parchear CVE-2020-1472 en caso de emergencia. Los clientes de Microsoft que hayan aplicado con éxito las actualizaciones de seguridad de agosto de 2020 pueden implementar el modo de aplicación del controlador de dominio (DC) ahora o después de la actualización del primer trimestre de 2021 que incluye la segunda parte del parche para esta vulnerabilidad.
Microsoft ha publicado una orientación sobre cómo administrar los cambios en las conexiones de canal seguro Netlogon asociadas con esta vulnerabilidad. Para obtener una evaluación más detallada del documento técnico de Secura y una guía, consulte el documento AttackerKB de Zerologon.