Exploits de Windows Zerologon PoC permiten la toma de dominio. ¡Parchea!

Iniciado por AXCESS, Septiembre 15, 2020, 06:41:35 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Septiembre 15, 2020, 06:41:35 PM
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Los investigadores han lanzado exploits para la vulnerabilidad Windows Zerologon CVE-2020-1472 que permiten a un atacante tomar el control de un dominio de Windows. ¡Instale los parches ahora!

Como parte de las actualizaciones de seguridad del martes de parches de agosto de 2020, Microsoft solucionó una vulnerabilidad de seguridad crítica con calificación 10/10 conocida como 'CVE-2020-1472 | Netlogon Elevation of Privilege Vulnerability '.

Después de aprovechar con éxito esta vulnerabilidad, los atacantes pueden elevar sus privilegios a un administrador de dominio y hacerse cargo de un dominio.

Desde entonces, la firma de ciberseguridad Secura, que descubrió esta vulnerabilidad, publicó un informe detallado de la vulnerabilidad y nombró a Zerologon.

Abusar de fallas criptográficas

Cuando un usuario inicia sesión en un dispositivo Windows en un dominio, utiliza el protocolo remoto Netlogon (MS-NRPC) sobre RPC para comunicarse con el controlador de dominio y autenticar al usuario.

Si un usuario inicia sesión con las credenciales correctas, el controlador de dominio le dice al dispositivo que permita la autenticación con los permisos adecuados. Aquellos con credenciales incorrectas, obviamente, no podrán iniciar sesión.

Como los intentos de autenticación son confidenciales, Windows envía las solicitudes de autenticación a través de una conexión RPC segura y cifrada.

El investigador de Secura, Tom Tervoort, descubrió que es posible obligar a los controladores de dominio a recurrir a la comunicación RPC no cifrada al realizar solicitudes de autenticación.

Después de recurrir a una comunicación RPC no segura, Tervoort podría abusar de una falla en el algoritmo de negociación criptográfica Netlogon AES-CFB8 para intentar falsificar un inicio de sesión exitoso.

En las pruebas de Tervoort, se necesitarían un promedio de 256 intentos para falsificar un inicio de sesión exitoso.

Esta manipulación engañaría al dispositivo para que registre al usuario en el sistema como administrador de dominio.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Una vez que un atacante obtiene privilegios de administrador de dominio en la red, obtiene acceso completo al controlador de dominio, puede cambiar las contraseñas de los usuarios y ejecutar cualquier comando que desee.

Lo que hace que esta vulnerabilidad sea tan aterradora es que un atacante ni siquiera necesita credenciales legítimas en el dominio, pero puede falsificar las respuestas para que cualquier intento de inicio de sesión sea exitoso.

"No sería necesario esperar a que otro usuario intente iniciar sesión. En su lugar, el atacante puede iniciar sesión él mismo, pretendiendo que solo es compatible con NTLM y proporcionando una contraseña no válida. El servicio al que están iniciando sesión reenviará el protocolo de enlace NTLM al controlador de dominio y el controlador de dominio responderían con una respuesta negativa. Este mensaje podría ser reemplazado por una respuesta falsa (que también contenga una clave de sesión recalculada) que indique que la contraseña es correcta y, por cierto, el usuario que intenta iniciar sesión resultó ser un miembro del grupo de administradores de dominio (lo que significa que también tienen privilegios administrativos en la máquina de destino) ", explica Tervoort en su informe sobre Zerologon.

Esta vulnerabilidad es especialmente preocupante cuando se trata de ataques de ransomware operados por humanos, ya que permite que un adversario con un punto de apoyo en una sola estación de trabajo obtenga el control total de una red sobre un dominio de Windows.

"Esta vulnerabilidad puede ser particularmente peligrosa cuando un atacante tiene un punto de apoyo en una red interna porque permite tanto la elevación de privilegios (al administrador local) como el movimiento lateral (obteniendo RCE en otras máquinas de la red)", advirtió Tervoort.

Lanzamiento de los exploits de Prueba de Concepto de Zerologon

Desde el lanzamiento del artículo de Secura, numerosos investigadores han lanzado exploits de prueba de concepto que permiten a un usuario obtener privilegios de administrador de dominio en una red vulnerable.

Rich Warren de NCC Group lanzó ayer un PoC que le permitió lograr la administración de dominio en diez segundos.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Los investigadores han lanzado exploits adicionales

1- No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

2- No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

que realizan ataques similares a los controladores de dominio.

Arreglando la vulnerabilidad

Dado que corregir la vulnerabilidad de Zerologon puede hacer que algunos dispositivos no se autentiquen correctamente, Microsoft está implementando la solución en dos etapas.

La primera etapa se lanzó el 11 de agosto en forma de una actualización de seguridad que evitará que los controladores de dominio de Active Directory de Windows utilicen comunicaciones RPC no seguras.

Esta actualización también registrará las solicitudes de autenticación de dispositivos que no sean de Windows que no utilicen comunicación RPC segura para dar tiempo a los administradores para reparar los dispositivos o reemplazarlos con hardware que admita RPC seguro.

El 9 de febrero de 2021, como parte de las actualizaciones del martes de parches, Microsoft lanzará una segunda actualización que entrará en la fase de aplicación que requiere que todos los dispositivos de la red usen Secure-RPC, a menos que un administrador lo permita específicamente.

Debido a esto, se recomienda encarecidamente que los administradores de Windows implementen la primera etapa del parche en su controlador de dominio de Active Directory para proteger su red.

Secura ha lanzado una herramienta que le permite verificar si su controlador de dominio es vulnerable a la vulnerabilidad Zerologon (CVE-2020-1472).

Fuente:
Bleepingomputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario