El exploit Zerologon permite que cualquier persona con una conexión de red obtenga una contraseña de controlador de dominio.
Unos investigadores de la firma de seguridad informática Secura han desarrollado y publicado un exploit de prueba de concepto para una vulnerabilidad de Windows recientemente parcheada que puede permitir el acceso a las joyas de la corona de una organización: los servidores controladores de dominio de Active Directory que actúan como un guardián todopoderoso para todas las máquinas conectadas a una red empresarial.
CVE-2020-1472, a medida que se rastrea la vulnerabilidad, tiene una calificación de gravedad crítica de Microsoft, así como un máximo de 10 según el Common Vulnerability Scoring System. Los exploits requieren que un atacante ya tenga un punto de apoyo dentro de una red objetivo, ya sea como un interno sin privilegios o mediante el compromiso de un dispositivo conectado.
Estos exploits posteriores al compromiso se han vuelto cada vez más valiosos para los atacantes que promueven el ransomware o el software espía de espionaje industrial. Engañar a los empleados para que hagan click en enlaces y archivos adjuntos maliciosos en el correo electrónico es relativamente fácil. Usar esas computadoras comprometidas para acceder a recursos más valiosos que puede ser mucho más difíciles de atacar directamente.
A veces, puede llevar semanas o meses escalar los privilegios de bajo nivel a los necesarios para instalar malware o ejecutar comandos. Usando Zerologon, un exploit desarrollado por investigadores de la firma de seguridad Secura. Permite a los atacantes obtener instantáneamente el control de Active Directory. A partir de ahí, tendrán rienda suelta para hacer casi cualquier cosa que quieran, desde agregar nuevas computadoras a la red hasta infectar cada una con el malware de su elección.
Los investigadores de Secura, que descubrieron la vulnerabilidad y la informaron a Microsoft, dijeron que desarrollaron un exploit que funciona de manera confiable, pero dado el riesgo, no lo lanzarán hasta que estén seguros de que el parche de Microsoft se ha instalado ampliamente en servidores vulnerables. Sin embargo, los investigadores advirtieron que no es difícil usar el parche de Microsoft para trabajar al revés y desarrollar un exploit. Mientras tanto, investigadores independientes de otras firmas de seguridad han publicado su propio código de ataque de prueba de concepto aquí, aquí y aquí.
Dado que el exploit está ahora disponible, es altamente recomendable parchar su Windows Server lo antes posible.
La publicación y descripción del código de explotación rápidamente llamó la atención de la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. Que trabaja para mejorar la seguridad cibernética en todos los niveles del gobierno. Twitter el lunes también explotó con comentarios que comentaban la amenaza que representa esta vulnerabilidad.
¿Cómo funciona el exploit?
Zerologon funciona enviando una cadena de ceros en una serie de mensajes que utilizan el protocolo Netlogon, del que dependen los servidores de Windows para una variedad de tareas, incluida la posibilidad de que los usuarios finales inicien sesión en una red. Las personas sin autenticación pueden utilizar el exploit para obtener credenciales administrativas de dominio, siempre que los atacantes tengan la capacidad de establecer conexiones TCP con un controlador de dominio vulnerable.
La vulnerabilidad se debe a la implementación de Windows de AES-CFB8, o al uso del protocolo de criptografía AES con retroalimentación de cifrado para cifrar y validar los mensajes de autenticación a medida que atraviesan la red interna.
Para que AES-CFB8 funcione correctamente, los llamados vectores de inicialización deben ser únicos y generados aleatoriamente con cada mensaje. Windows no cumplió con este requisito. Zerologon aprovecha esta omisión enviando mensajes de Netlogon que incluyen ceros en varios campos cuidadosamente seleccionados. El artículo de Secura ofrece un análisis profundo de la causa de la vulnerabilidad y el enfoque de cinco pasos para explotarla.
Es comprensible que los administradores sean cautelosos al instalar actualizaciones que afecten a componentes de red tan sensibles como los controladores de dominio. En este caso, puede haber más riesgo en no instalar que instalar antes de lo que uno quisiera. Las organizaciones con servidores vulnerables deben reunir todos los recursos que necesiten para asegurarse de que este parche se instale lo antes posible.