16 sep. 2020

ZeroLogon: permite tomar el control del controlador de dominio (Parchea!)

El mes pasado, Microsoft parcheó una vulnerabilidad CVE-2020-1472 muy interesante que permitiría a un atacante con un punto de apoyo en su red interna convertirse esencialmente en administrador de dominio con un solo clic. Todo lo que se requiere es que una conexión al controlador de dominio sea posible desde el punto de vista del atacante.

A pesar de que en agosto la vulnerabilidad se calificó como de "poco probable su explotación" ya existe una prueba de concepto para aprovechar el fallo conocido como ZeroLogon y publicado por la empresa Secura. Esto permite, ni más ni menos, que cualquier usuario se haga con el control de la red interna de un sistema solo con tener acceso al controlador de dominio.

El experto en seguridad de Secura, Tom Tervoort, descubrió previamente una vulnerabilidad de Netlogon menos grave el año pasado que permitía tomar el control de las estaciones de trabajo, pero el atacante requería una posición de Person-in-the-Middle (PitM) para que eso funcionara. Ahora, descubrió esta segunda vulnerabilidad, mucho más grave (puntuación CVSS: 10) en el protocolo. Al falsificar un token de autenticación para una funcionalidad específica de Netlogon, pudo llamar a una función para establecer la contraseña de la computadora del controlador de dominio en un valor conocido. Después de eso, el atacante puede usar esta nueva contraseña para tomar el control del controlador de dominio y robar las credenciales de un administrador de dominio.

En particular, los delincuentes pueden secuestrar un controlador de dominio basado en cualquier versión de Windows Server 2019 o Windows Server 2016, así como cualquier edición de Windows Server versión 1909, Windows Server versión 1903, Windows Server versión 1809 (ediciones Datacenter y Standard), Windows Server 2012 R2, Windows Server 2012 o Windows Server 2008 R2 Service Pack 1. Para atacar, los ciberdelincuentes primero necesitarían ingresar a la red corporativa, aunque eso no un problema tan importante.

La vulnerabilidad se debe a una falla en un esquema de autenticación criptográfica utilizado por el Protocolo Remoto Netlogon, que entre otras cosas puede usarse para actualizar las contraseñas de las computadoras. Esta falla permite a los atacantes hacerse pasar por cualquier computadora, incluido el controlador de dominio, y ejecutar llamadas a procedimientos remotos en su nombre.

Afortunadamente, Zerologon aún no se ha utilizado en un ataque del mundo real (o al menos, no se ha informado de ninguno). Sin embargo, el informe de Tervoort causó revuelo, probablemente atrayendo la atención de los ciberdelincuentes.Secura publicó una herramienta de prueba en Github, que puede descargar aquí que puede decirle si un controlador de dominio es vulnerable o no. Secura insta a todos a instalar el parche en todos sus controladores de dominio lo más rápido posible.

Ya son cuatro las pruebas de concepto de CVE-2020-1472 (1, 2, 3, 4) en Python y .NET que permiten aprovechar el fallo en el Netlogon Remote Protocol. El problema es que se usa mal AES con el (lentísimo) modo CFB8. La función ComputeNetlogonCredential, en vez de aleatorizar los vectores de iniciación para cada byte, usa siempre un valor fijo… todo cero. El atacante envía una media de 256 intentos de bloques de ceros hasta que consigue autenticarse y en este caso la PoC deshabilita la contraseña.

Por si fuera poco, también se ha hecho pública una prueba de concepto para CVE-2020-16875. Esta vulnerabilidad implica una falla crítica en el software de correo electrónico Microsoft Exchange Server 2016 y 2019. Un atacante podría aprovechar el error de Exchange para ejecutar el código de su elección con solo enviar un booby- correo electrónico atrapado a un servidor Exchange vulnerable.

"Eso no lo convierte en un gusano, pero se trata del peor de los casos para los servidores Exchange", dijo Dustin Childs, de Zero Day Initiative de Trend Micro. "Hemos visto el error de Exchange previamente parcheado CVE-2020-0688 usado en la naturaleza, y eso requiere autenticación. Es probable que veamos este en estado salvaje pronto. Esta debería ser su máxima prioridad".

Fuente: Secura

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!