Vulnerabilidad crítica en Windows Server

Fecha de publicación: 15/09/2020

Nivel de peligrosidad: CRÍTICO

El Equipo de Respuesta ante Incidentes de Seguridad de la Información del Centro Criptológico Nacional, CCN-CERT, alerta de una vulnerabilidad crítica en Windows Server que ha recibido una puntuación de 10.0 (CVSS) por parte de Microsoft.

Se han hecho públicos los detalles de explotación de esta vulnerabilidad que afecta de forma directa a los controladores de dominio (DC) del Directorio Activo (AD). Debido a un error en la implementación criptográfica del protocolo Netlogon, específicamente en el uso del cifrado AES-CFB8, es posible establecer una nueva contraseña en el DC. Tras ello, un atacante podría utilizar esa nueva contraseña para tomar el control completo del DC y usurpar las credenciales de un usuario administrador del dominio.

Debido a un uso incorrecto en la implementación del algoritmo de cifrado AES, es posible obtener el control del DC y establecer una contraseña vacía en el dominio. El pasado mes de agosto Microsoft lanzó las correspondientes actualizaciones para corregir esta vulnerabilidad, la cual ha sido denominado “Zerologon” debido a la ausencia total de autenticación a la hora de explotarla. A continuación, se exponen los detalles técnicos de dicha vulnerabilidad:

CVE-2020-1472: Vulnerabilidad en Netlogon Remote Protocol, el cual es gestionado a través de una interfaz RPC (Remote Procedure Call), disponible en los controladores de dominio de Windows. Este protocolo se utiliza para diversas tareas relacionadas con la autenticación de usuarios y máquinas, más comúnmente para facilitar que los usuarios inicien sesión en servidores utilizando el protocolo NTLM. Netlogon utiliza un protocolo criptográfico personalizado para permitir que un cliente, es decir, un equipo unido a un dominio, y un servidor, es decir, el controlador de dominio certifiquen entre sí que ambos conocen un secreto compartido, el cual es un hash de la contraseña de la cuenta del equipo del cliente.

En concreto, la vulnerabilidad se ubica en la criptografía utilizada para el protocolo de enlace de autenticación inicial, ya que existe una omisión de autenticación general severa, que podría ser explotada por un atacante simplemente estableciendo conexiones TCP con un controlador de dominio vulnerable, para lo que bastaría con tener acceso a la red, pero sin requerir ninguna credencial de dominio. Una explotación exitosa de la vulnerabilidad otorgaría al atacante privilegios de administrador de dominio e incluso la posibilidad de comprometer por completo el DC.

La base de datos del NIST ha asignado al CVE-2020-1472 la criticidad máxima de 10.0 según la escala CVSSv3, al tratarse de una vulnerabilidad explotable únicamente con tener visibilidad en la red del DC, con una complejidad técnica baja, sin requerir privilegios y sin ser necesaria la interacción de un usuario legítimo. Además, ya se han hecho públicas diversas pruebas de concepto que muestran cómo explotar el fallo en servidores DC vulnerables:

• https://github.com/blackarrowsec/redteam-research/tree/master/CVE-2020-1472
• https://github.com/dirkjanm/CVE-2020-1472/blob/master/cve-2020-1472-exploit.py
• https://github.com/bb00/zer0dump
• https://github.com/risksense/zerologon/

Recursos afectados:

El CVE-2020-1472 ya fue abordado por Microsoft en su boletín de seguridad del pasado mes de agosto. En su aviso de seguridad del 11/08/2020, el fabricante confirmó los siguientes productos afectados por esta vulnerabilidad:

• Windows Server 2008 R2 for x64-based Systems Service Pack 1
• Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
• Windows Server 2012
• Windows Server 2012 (Server Core installation)
• Windows Server 2012 R2
• Windows Server 2012 R2 (Server Core installation)
• Windows Server 2016
• Windows Server 2016 (Server Core installation)
• Windows Server 2019
• Windows Server 2019 (Server Core installation)
• Windows Server, version 1903 (Server Core installation)
• Windows Server, version 1909 (Server Core installation)
• Windows Server, version 2004 (Server Core installation)

Solución a la vulnerabilidad:

Actualizar todos los controladores de dominio del Directorio Activo a través del enlace que se ofrece a continuación, dentro de la sección “Security Updates”:

• CVE-2020-1472 | Netlogon Elevation of Privilege Vulnerability

Recomendaciones:

Se recomienda encarecidamente a los usuarios y administradores de sistemas que apliquen los parches de seguridad existentes, a la mayor brevedad posible.

Por su parte, Microsoft ha publicado una guía sobre el CVE-2020-1472 con el fin de ayudar a los administradores de sistemas a aplicar las configuraciones correctas frente a esta vulnerabilidad:

• Cómo administrar los cambios en conexiones de canal seguro de Netlogon asociadas con CVE-2020-1472

Además, los investigadores que reportaron la vulnerabilidad a Microsoft han desarrollado un script en Python para comprobar si un controlador de dominio ha sido parcheado correctamente o por el contrario es vulnerable a Zerologon:

• ZeroLogon testing script

Por el momento, Microsoft no ha publicado medidas de mitigación alternativas en caso de no ser posible aplicar los parches oficiales lanzados el pasado mes de agosto. No obstante, Microsoft ya ha anunciado que el próximo mes de febrero publicará nuevas actualizaciones que abordarán de mejor manera la solución a este error. Por lo tanto, es vital implementar las actualizaciones descritas en este aviso en cuanto sea posible dado el gran impacto que puede ocasionar un ataque que explote con éxito esta vulnerabilidad, al tratarse de una tecnología ampliamente extendida a nivel empresarial y teniendo en cuenta el enorme beneficio que puede obtener un atacante.

Referencias:

• CVE-2020-1472 | Netlogon Elevation of Privilege Vulnerability
• What Is NetLogon?
• Zerologon: Unauthenticated domain controller compromise by subverting Netlogon cryptography (CVE-2020-1472)
• NIST - CVE-2020-1472