CCN-CERT AL 09/20 Vulnerabilidad crítica en Windows Server

Published: 15 Setembro 2020


	ALERTA

	Vulnerabilidad crítica en Windows Server Fecha de publicación: 15/09/2020 Nivel de peligrosidad: CRÍTICO El Equipo de Respuesta ante Incidentes de Seguridad de la Información del Centro Criptológico Nacional, CCN-CERT, alerta de una vulnerabilidad crítica en Windows Server que ha recibido una puntuación de 10.0 (CVSS) por parte de Microsoft. Se han hecho públicos los detalles de explotación de esta vulnerabilidad que afecta de forma directa a los controladores de dominio (DC) del Directorio Activo (AD). Debido a un error en la implementación criptográfica del protocolo Netlogon, específicamente en el uso del cifrado AES-CFB8, es posible establecer una nueva contraseña en el DC. Tras ello, un atacante podría utilizar esa nueva contraseña para tomar el control completo del DC y usurpar las credenciales de un usuario administrador del dominio. Debido a un uso incorrecto en la implementación del algoritmo de cifrado AES, es posible obtener el control del DC y establecer una contraseña vacía en el dominio. El pasado mes de agosto Microsoft lanzó las correspondientes actualizaciones para corregir esta vulnerabilidad, la cual ha sido denominado *“Zerologon”* debido a la ausencia total de autenticación a la hora de explotarla. A continuación, se exponen los detalles técnicos de dicha vulnerabilidad: CVE-2020-1472: Vulnerabilidad en Netlogon Remote Protocol, el cual es gestionado a través de una interfaz RPC (Remote Procedure Call), disponible en los controladores de dominio de Windows. Este protocolo se utiliza para diversas tareas relacionadas con la autenticación de usuarios y máquinas, más comúnmente para facilitar que los usuarios inicien sesión en servidores utilizando el protocolo NTLM. Netlogon utiliza un protocolo criptográfico personalizado para permitir que un cliente, es decir, un equipo unido a un dominio, y un servidor, es decir, el controlador de dominio certifiquen entre sí que ambos conocen un secreto compartido, el cual es un hash de la contraseña de la cuenta del equipo del cliente. En concreto, la vulnerabilidad se ubica en la criptografía utilizada para el protocolo de enlace de autenticación inicial, ya que existe una omisión de autenticación general severa, que podría ser explotada por un atacante simplemente estableciendo conexiones TCP con un controlador de dominio vulnerable, para lo que bastaría con tener acceso a la red, pero sin requerir ninguna credencial de dominio. Una explotación exitosa de la vulnerabilidad otorgaría al atacante privilegios de administrador de dominio e incluso la posibilidad de comprometer por completo el DC. La base de datos del NIST ha asignado al CVE-2020-1472 la criticidad máxima de 10.0 según la escala CVSSv3, al tratarse de una vulnerabilidad explotable únicamente con tener visibilidad en la red del DC, con una complejidad técnica baja, sin requerir privilegios y sin ser necesaria la interacción de un usuario legítimo. Además, ya se han hecho públicas diversas pruebas de concepto que muestran cómo explotar el fallo en servidores DC vulnerables: https://github.com/blackarrowsec/redteam-research/tree/master/CVE-2020-1472 https://github.com/dirkjanm/CVE-2020-1472/blob/master/cve-2020-1472-exploit.py https://github.com/bb00/zer0dump https://github.com/risksense/zerologon/ Recursos afectados: El CVE-2020-1472 ya fue abordado por Microsoft en su boletín de seguridad del pasado mes de agosto. En su aviso de seguridad del 11/08/2020, el fabricante confirmó los siguientes productos afectados por esta vulnerabilidad: Windows Server 2008 R2 for x64-based Systems Service Pack 1 Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation) Windows Server 2012 Windows Server 2012 (Server Core installation) Windows Server 2012 R2 Windows Server 2012 R2 (Server Core installation) Windows Server 2016 Windows Server 2016 (Server Core installation) Windows Server 2019 Windows Server 2019 (Server Core installation) Windows Server, version 1903 (Server Core installation) Windows Server, version 1909 (Server Core installation) Windows Server, version 2004 (Server Core installation) Solución a la vulnerabilidad: Actualizar todos los controladores de dominio del Directorio Activo a través del enlace que se ofrece a continuación, dentro de la sección “Security Updates”: CVE-2020-1472 \| Netlogon Elevation of Privilege Vulnerability Recomendaciones: Se recomienda encarecidamente a los usuarios y administradores de sistemas que apliquen los parches de seguridad existentes, a la mayor brevedad posible. Por su parte, Microsoft ha publicado una guía sobre el CVE-2020-1472 con el fin de ayudar a los administradores de sistemas a aplicar las configuraciones correctas frente a esta vulnerabilidad: Cómo administrar los cambios en conexiones de canal seguro de Netlogon asociadas con CVE-2020-1472 Además, los investigadores que reportaron la vulnerabilidad a Microsoft han desarrollado un script en Python para comprobar si un controlador de dominio ha sido parcheado correctamente o por el contrario es vulnerable a Zerologon: ZeroLogon testing script Por el momento, Microsoft no ha publicado medidas de mitigación alternativas en caso de no ser posible aplicar los parches oficiales lanzados el pasado mes de agosto. No obstante, Microsoft ya ha anunciado que el próximo mes de febrero publicará nuevas actualizaciones que abordarán de mejor manera la solución a este error. Por lo tanto, es vital implementar las actualizaciones descritas en este aviso en cuanto sea posible dado el gran impacto que puede ocasionar un ataque que explote con éxito esta vulnerabilidad, al tratarse de una tecnología ampliamente extendida a nivel empresarial y teniendo en cuenta el enorme beneficio que puede obtener un atacante. Referencias: CVE-2020-1472 \| Netlogon Elevation of Privilege Vulnerability What Is NetLogon? Zerologon: Unauthenticated domain controller compromise by subverting Netlogon cryptography (CVE-2020-1472) NIST - CVE-2020-1472 Atentamente, Equipo CCN-CERT ////////////////////////////////////////////////////////////////////////////////////////// El CCN-CERT (www.ccn-cert.cni.es) es la Capacidad de Respuesta a Incidentes de Seguridad de la Información del Centro Criptológico Nacional, CCN (www.ccn.cni.es), adscrito al Centro Nacional de Inteligencia, CNI. Este servicio se creó en el año 2006 como CERT Gubernamental Nacional español y sus funciones quedan recogidas en la Ley 11/2002 reguladora del CNI, el RD 421/2004 de regulación del CCN y en el RD 3/2010, de 8 de enero, regulador del Esquema Nacional de Seguridad (ENS), modificado por el RD 951/2015 de 23 de octubre. Su misión, por tanto, es contribuir a la mejora de la ciberseguridad española, siendo el centro de alerta y respuesta nacional que coopere y ayude a responder de forma rápida y eficiente a los ciberataques y a afrontar de forma activa las ciberamenazas, incluyendo la coordinación a nivel público estatal de las distintas Capacidades de Respuesta a Incidentes o Centros de Operaciones de Ciberseguridad existentes. Todo ello, con el fin último de conseguir un ciberespacio más seguro y confiable, preservando la información clasificada (tal y como recoge el art. 4. F de la Ley 11/2002) y la información sensible, defendiendo el Patrimonio Tecnológico español, formando al personal experto, aplicando políticas y procedimientos de seguridad y empleando y desarrollando las tecnologías más adecuadas a este fin. De acuerdo a esta normativa y la Ley 40/2015 de Régimen Jurídico del Sector Público es competencia del CCN-CERT la gestión de ciberincidentes que afecten a cualquier organismo o empresa pública. En el caso de operadores críticos del sector público la gestión de ciberincidentes se realizará por el CCN-CERT en coordinación con el CNPIC. Claves PGP Públicas --------------------- Este enderezo de correo está a ser protexido dos robots de correo lixo. Precisa activar o JavaScript para velo. / Este enderezo de correo está a ser protexido dos robots de correo lixo. Precisa activar o JavaScript para velo. -------------------- Fingerprint: 2933 AE1E CB92 548D 6515 B11B 88E9 B0C3 F9CC 1235 Descarga -------------------- ///////////////////////////////////////////////////////////////////////////////////////// POLÍTICA DE PRIVACIDAD: El 25 de mayo de 2018 entró en vigor el Reglamento de Protección de Datos (RGPD) de la Unión Europea (UE). Dicho Reglamento está diseñado para unificar los requisitos de privacidad de los datos en toda la UE. Desde el Centro Criptológico Nacional siempre hemos prestado la mayor atención y realizado todos los esfuerzos necesarios para mantener la privacidad de nuestros usuarios y suscriptores y, por supuesto, cumplir con la Normativa vigente. Con el objetivo de adecuarnos al RGPD hemos actualizado nuestra política de privacidad para ampliar lo que veníamos haciendo hasta la fecha: otorgar a su información personal el respeto y la seguridad que se merece. Nos pondremos en contacto con usted cuando dispongamos de información que consideremos que le pueda ser de interés, informándole de contenidos, servicios, eventos, avisos de seguridad o, si procede, gestionar y atender sus solicitudes de información. Puede encontrar la nueva información y política de privacidad del Centro Criptológico Nacional haciendo click AQUÍ. Por favor, consulte esta información y no dude en ponerse en contacto con nosotros para cualquier aclaración enviándonos un email a Este enderezo de correo está a ser protexido dos robots de correo lixo. Precisa activar o JavaScript para velo. ////////////////////////////////////////////////////////////////////////////////////////// AVISO DE CONFIDENCIALIDAD: El presente mensaje va dirigido de manera exclusiva a su destinatario. Si usted no es el destinatario de este mensaje (o la persona responsable de su entrega), considérese advertido de que lo ha recibido por error, así como de la prohibición legal de realizar cualquier tipo de uso, difusión, reenvío, impresión o copia del mismo. Si ha recibido este mensaje por error, por favor notifíquelo al remitente y proceda a destruirlo inmediatamente.

© 2020 Centro Criptológico Nacional, Argentona 30, 28023 MADRID

Zerologon