![]() |
||
ALERTA | ||
Vulnerabilidad crítica en Windows ServerFecha de publicación: 15/09/2020 Nivel de peligrosidad: CRÍTICO El Equipo de Respuesta ante Incidentes de Seguridad de la Información del Centro Criptológico Nacional, CCN-CERT, alerta de una vulnerabilidad crítica en Windows Server que ha recibido una puntuación de 10.0 (CVSS) por parte de Microsoft. Se han hecho públicos los detalles de explotación de esta vulnerabilidad que afecta de forma directa a los controladores de dominio (DC) del Directorio Activo (AD). Debido a un error en la implementación criptográfica del protocolo Netlogon, específicamente en el uso del cifrado AES-CFB8, es posible establecer una nueva contraseña en el DC. Tras ello, un atacante podría utilizar esa nueva contraseña para tomar el control completo del DC y usurpar las credenciales de un usuario administrador del dominio. Debido a un uso incorrecto en la implementación del algoritmo de cifrado AES, es posible obtener el control del DC y establecer una contraseña vacía en el dominio. El pasado mes de agosto Microsoft lanzó las correspondientes actualizaciones para corregir esta vulnerabilidad, la cual ha sido denominado “Zerologon” debido a la ausencia total de autenticación a la hora de explotarla. A continuación, se exponen los detalles técnicos de dicha vulnerabilidad: CVE-2020-1472: Vulnerabilidad en Netlogon Remote Protocol, el cual es gestionado a través de una interfaz RPC (Remote Procedure Call), disponible en los controladores de dominio de Windows. Este protocolo se utiliza para diversas tareas relacionadas con la autenticación de usuarios y máquinas, más comúnmente para facilitar que los usuarios inicien sesión en servidores utilizando el protocolo NTLM. Netlogon utiliza un protocolo criptográfico personalizado para permitir que un cliente, es decir, un equipo unido a un dominio, y un servidor, es decir, el controlador de dominio certifiquen entre sí que ambos conocen un secreto compartido, el cual es un hash de la contraseña de la cuenta del equipo del cliente. En concreto, la vulnerabilidad se ubica en la criptografía utilizada para el protocolo de enlace de autenticación inicial, ya que existe una omisión de autenticación general severa, que podría ser explotada por un atacante simplemente estableciendo conexiones TCP con un controlador de dominio vulnerable, para lo que bastaría con tener acceso a la red, pero sin requerir ninguna credencial de dominio. Una explotación exitosa de la vulnerabilidad otorgaría al atacante privilegios de administrador de dominio e incluso la posibilidad de comprometer por completo el DC. La base de datos del NIST ha asignado al CVE-2020-1472 la criticidad máxima de 10.0 según la escala CVSSv3, al tratarse de una vulnerabilidad explotable únicamente con tener visibilidad en la red del DC, con una complejidad técnica baja, sin requerir privilegios y sin ser necesaria la interacción de un usuario legítimo. Además, ya se han hecho públicas diversas pruebas de concepto que muestran cómo explotar el fallo en servidores DC vulnerables:
Recursos afectados: El CVE-2020-1472 ya fue abordado por Microsoft en su boletín de seguridad del pasado mes de agosto. En su aviso de seguridad del 11/08/2020, el fabricante confirmó los siguientes productos afectados por esta vulnerabilidad:
Solución a la vulnerabilidad: Actualizar todos los controladores de dominio del Directorio Activo a través del enlace que se ofrece a continuación, dentro de la sección “Security Updates”: Recomendaciones: Se recomienda encarecidamente a los usuarios y administradores de sistemas que apliquen los parches de seguridad existentes, a la mayor brevedad posible. Por su parte, Microsoft ha publicado una guía sobre el CVE-2020-1472 con el fin de ayudar a los administradores de sistemas a aplicar las configuraciones correctas frente a esta vulnerabilidad: Además, los investigadores que reportaron la vulnerabilidad a Microsoft han desarrollado un script en Python para comprobar si un controlador de dominio ha sido parcheado correctamente o por el contrario es vulnerable a Zerologon: Por el momento, Microsoft no ha publicado medidas de mitigación alternativas en caso de no ser posible aplicar los parches oficiales lanzados el pasado mes de agosto. No obstante, Microsoft ya ha anunciado que el próximo mes de febrero publicará nuevas actualizaciones que abordarán de mejor manera la solución a este error. Por lo tanto, es vital implementar las actualizaciones descritas en este aviso en cuanto sea posible dado el gran impacto que puede ocasionar un ataque que explote con éxito esta vulnerabilidad, al tratarse de una tecnología ampliamente extendida a nivel empresarial y teniendo en cuenta el enorme beneficio que puede obtener un atacante. Referencias:
Atentamente, Equipo CCN-CERT ////////////////////////////////////////////////////////////////////////////////////////// El CCN-CERT (www.ccn-cert.cni.es) es la Capacidad de Respuesta a Incidentes de Seguridad de la Información del Centro Criptológico Nacional, CCN (www.ccn.cni.es), adscrito al Centro Nacional de Inteligencia, CNI. Este servicio se creó en el año 2006 como CERT Gubernamental Nacional español y sus funciones quedan recogidas en la Ley 11/2002 reguladora del CNI, el RD 421/2004 de regulación del CCN y en el RD 3/2010, de 8 de enero, regulador del Esquema Nacional de Seguridad (ENS), modificado por el RD 951/2015 de 23 de octubre. Su misión, por tanto, es contribuir a la mejora de la ciberseguridad española, siendo el centro de alerta y respuesta nacional que coopere y ayude a responder de forma rápida y eficiente a los ciberataques y a afrontar de forma activa las ciberamenazas, incluyendo la coordinación a nivel público estatal de las distintas Capacidades de Respuesta a Incidentes o Centros de Operaciones de Ciberseguridad existentes. Todo ello, con el fin último de conseguir un ciberespacio más seguro y confiable, preservando la información clasificada (tal y como recoge el art. 4. F de la Ley 11/2002) y la información sensible, defendiendo el Patrimonio Tecnológico español, formando al personal experto, aplicando políticas y procedimientos de seguridad y empleando y desarrollando las tecnologías más adecuadas a este fin. De acuerdo a esta normativa y la Ley 40/2015 de Régimen Jurídico del Sector Público es competencia del CCN-CERT la gestión de ciberincidentes que afecten a cualquier organismo o empresa pública. En el caso de operadores críticos del sector público la gestión de ciberincidentes se realizará por el CCN-CERT en coordinación con el CNPIC. Claves PGP Públicas ///////////////////////////////////////////////////////////////////////////////////////// POLÍTICA DE PRIVACIDAD: Nos pondremos en contacto con usted cuando dispongamos de información que consideremos que le pueda ser de interés, informándole de contenidos, servicios, eventos, avisos de seguridad o, si procede, gestionar y atender sus solicitudes de información. Puede encontrar la nueva información y política de privacidad del Centro Criptológico Nacional haciendo click AQUÍ. Por favor, consulte esta información y no dude en ponerse en contacto con nosotros para cualquier aclaración enviándonos un email a info@ccn-cert.cni.es ////////////////////////////////////////////////////////////////////////////////////////// AVISO DE CONFIDENCIALIDAD: |
||
© 2020 Centro Criptológico Nacional, Argentona 30, 28023 MADRID |
- CCN-CERT
- Gestión de incidentes
- Red Nacional de SOC
- Guías
- Índice de guías
- Series completas
- 2000 Organismo de Certificación
- Guías sin soporte
- 900 Informes Técnicos
- 800 Guía Esquema Nacional de Seguridad
- 600 Guías de otros entornos
- 500 Guías de entornos Windows
- 400 Guías generales
- 300 Instrucciones técnicas
- 200 Normas
- 1000 Procedimientos de empleo seguro
- 100 Procedimientos
- 000 Políticas
- Guías de Acceso Público CCN-STIC
- Serie 800 (ENS)
- Glosario de Términos (CCN-STIC 401)
- Últimas guías CCN-STIC
- Informes
- Formación
- Soluciones
- ENS
- Seguridad al día
- Comunicación
- Comunicados CCN-CERT
- Jornadas STIC
- Vídeo resumen XI Jornadas
- Vídeo resumen X Jornadas
- XIV Jornadas STIC CCN-CERT
- XV Jornadas STIC CCN-CERT
- XVI Jornadas STIC CCN-CERT
- XIII Jornadas STIC CCN-CERT
- XII Jornadas STIC CCN-CERT
- XI Jornadas STIC CCN-CERT
- X Jornadas STIC CCN-CERT
- IX JORNADAS DE SEGURIDAD TIC DEL CCN-CERT
- I JORNADA STIC CCN-CERT
- II JORNADAS DE SEGURIDAD TIC DEL CCN-CERT
- III JORNADAS DE SEGURIDAD TIC DEL CCN-CERT
- IV JORNADAS DE SEGURIDAD TIC DEL CCN-CERT
- V JORNADAS DE SEGURIDAD TIC DEL CCN-CERT
- VI JORNADAS DE SEGURIDAD TIC DEL CCN-CERT
- VII JORNADAS DE SEGURIDAD TIC DEL CCN-CERT
- VIII JORNADAS DE SEGURIDAD TIC DEL CCN-CERT
- I Jornada STIC. Capítulo Colombia
- II Jornada STIC. Capítulo Colombia
- III Jornada STIC. Capítulo República Dominicana
- Vídeos
- Vídeo compartir amenazas
- Vídeo décimo aniversario
- Vídeo detección e intercambio
- Aproximación española a la ciberseguridad. CCN
- Vídeo presentación
- Centro Criptológico Nacional: 15 años fortaleciendo la ciberseguridad nacional.
- Capacidades del CCN 2018-2019
- Claves del Centro Criptológico Nacional para el año 2020 en materia de ciberseguridad
- Encuentro Sector Salud
- Informe de Actividad del CCN
- Artículos y reportajes
- Decálogo de Ciberseguridad
- Mes Europeo de la Ciberseguridad
- CiberCOVID19
- Registro