Exploits de Windows Zerologon PoC permiten la toma de dominio. ¡Parchea!

  • 0 Respuestas
  • 548 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado AXCESS

  • *
  • Moderador Global
  • Mensajes: 920
  • Actividad:
    100%
  • Country: 00
  • Reputación 16
    • Ver Perfil
    • Email


Los investigadores han lanzado exploits para la vulnerabilidad Windows Zerologon CVE-2020-1472 que permiten a un atacante tomar el control de un dominio de Windows. ¡Instale los parches ahora!

Como parte de las actualizaciones de seguridad del martes de parches de agosto de 2020, Microsoft solucionó una vulnerabilidad de seguridad crítica con calificación 10/10 conocida como 'CVE-2020-1472 | Netlogon Elevation of Privilege Vulnerability '.

Después de aprovechar con éxito esta vulnerabilidad, los atacantes pueden elevar sus privilegios a un administrador de dominio y hacerse cargo de un dominio.

Desde entonces, la firma de ciberseguridad Secura, que descubrió esta vulnerabilidad, publicó un informe detallado de la vulnerabilidad y nombró a Zerologon.

Abusar de fallas criptográficas

Cuando un usuario inicia sesión en un dispositivo Windows en un dominio, utiliza el protocolo remoto Netlogon (MS-NRPC) sobre RPC para comunicarse con el controlador de dominio y autenticar al usuario.

Si un usuario inicia sesión con las credenciales correctas, el controlador de dominio le dice al dispositivo que permita la autenticación con los permisos adecuados. Aquellos con credenciales incorrectas, obviamente, no podrán iniciar sesión.

Como los intentos de autenticación son confidenciales, Windows envía las solicitudes de autenticación a través de una conexión RPC segura y cifrada.

El investigador de Secura, Tom Tervoort, descubrió que es posible obligar a los controladores de dominio a recurrir a la comunicación RPC no cifrada al realizar solicitudes de autenticación.

Después de recurrir a una comunicación RPC no segura, Tervoort podría abusar de una falla en el algoritmo de negociación criptográfica Netlogon AES-CFB8 para intentar falsificar un inicio de sesión exitoso.

En las pruebas de Tervoort, se necesitarían un promedio de 256 intentos para falsificar un inicio de sesión exitoso.

Esta manipulación engañaría al dispositivo para que registre al usuario en el sistema como administrador de dominio.



Una vez que un atacante obtiene privilegios de administrador de dominio en la red, obtiene acceso completo al controlador de dominio, puede cambiar las contraseñas de los usuarios y ejecutar cualquier comando que desee.

Lo que hace que esta vulnerabilidad sea tan aterradora es que un atacante ni siquiera necesita credenciales legítimas en el dominio, pero puede falsificar las respuestas para que cualquier intento de inicio de sesión sea exitoso.

"No sería necesario esperar a que otro usuario intente iniciar sesión. En su lugar, el atacante puede iniciar sesión él mismo, pretendiendo que solo es compatible con NTLM y proporcionando una contraseña no válida. El servicio al que están iniciando sesión reenviará el protocolo de enlace NTLM al controlador de dominio y el controlador de dominio responderían con una respuesta negativa. Este mensaje podría ser reemplazado por una respuesta falsa (que también contenga una clave de sesión recalculada) que indique que la contraseña es correcta y, por cierto, el usuario que intenta iniciar sesión resultó ser un miembro del grupo de administradores de dominio (lo que significa que también tienen privilegios administrativos en la máquina de destino) ", explica Tervoort en su informe sobre Zerologon.

Esta vulnerabilidad es especialmente preocupante cuando se trata de ataques de ransomware operados por humanos, ya que permite que un adversario con un punto de apoyo en una sola estación de trabajo obtenga el control total de una red sobre un dominio de Windows.

"Esta vulnerabilidad puede ser particularmente peligrosa cuando un atacante tiene un punto de apoyo en una red interna porque permite tanto la elevación de privilegios (al administrador local) como el movimiento lateral (obteniendo RCE en otras máquinas de la red)", advirtió Tervoort.

Lanzamiento de los exploits de Prueba de Concepto de Zerologon

Desde el lanzamiento del artículo de Secura, numerosos investigadores han lanzado exploits de prueba de concepto que permiten a un usuario obtener privilegios de administrador de dominio en una red vulnerable.

Rich Warren de NCC Group lanzó ayer un PoC que le permitió lograr la administración de dominio en diez segundos.



Los investigadores han lanzado exploits adicionales

1- https://github.com/dirkjanm/CVE-2020-1472

2- https://github.com/blackarrowsec/redteam-research/tree/master/CVE-2020-1472

 que realizan ataques similares a los controladores de dominio.

Arreglando la vulnerabilidad

Dado que corregir la vulnerabilidad de Zerologon puede hacer que algunos dispositivos no se autentiquen correctamente, Microsoft está implementando la solución en dos etapas.

La primera etapa se lanzó el 11 de agosto en forma de una actualización de seguridad que evitará que los controladores de dominio de Active Directory de Windows utilicen comunicaciones RPC no seguras.

Esta actualización también registrará las solicitudes de autenticación de dispositivos que no sean de Windows que no utilicen comunicación RPC segura para dar tiempo a los administradores para reparar los dispositivos o reemplazarlos con hardware que admita RPC seguro.

El 9 de febrero de 2021, como parte de las actualizaciones del martes de parches, Microsoft lanzará una segunda actualización que entrará en la fase de aplicación que requiere que todos los dispositivos de la red usen Secure-RPC, a menos que un administrador lo permita específicamente.

Debido a esto, se recomienda encarecidamente que los administradores de Windows implementen la primera etapa del parche en su controlador de dominio de Active Directory para proteger su red.

Secura ha lanzado una herramienta que le permite verificar si su controlador de dominio es vulnerable a la vulnerabilidad Zerologon (CVE-2020-1472).

Fuente:
Bleepingomputer
https://www.bleepingcomputer.com/news/microsoft/windows-zerologon-poc-exploits-allow-domain-takeover-patch-now/

 

Adobe CC en Windows 10: Vulnerabilidad Time-of-check Time-of-use (TOCTTOU)

Iniciado por Dragora

Respuestas: 0
Vistas: 520
Último mensaje Marzo 26, 2020, 02:08:42 am
por Dragora
Kali Linux para Windows ahora disponible para descargar desde la Microsoft Store

Iniciado por graphixx

Respuestas: 0
Vistas: 1971
Último mensaje Marzo 06, 2018, 09:47:50 pm
por graphixx
Microsoft lanza herramienta open source para compilar distros Linux para Windows

Iniciado por graphixx

Respuestas: 0
Vistas: 2098
Último mensaje Marzo 29, 2018, 12:10:03 pm
por graphixx
WSL2 preparado para la adopción masiva, disponible para todos en Windows 10 v200

Iniciado por Dragora

Respuestas: 0
Vistas: 386
Último mensaje Marzo 17, 2020, 04:10:43 pm
por Dragora
Microsoft lanzará un parche obligatorio para Windows 7 para actualizaciones

Iniciado por AXCESS

Respuestas: 0
Vistas: 1069
Último mensaje Febrero 18, 2019, 02:45:30 pm
por AXCESS