El día de ayer se cumplió el aniversario de Zerologon, una de los top 5 vulnerabilidades críticas del 2020 que, cuando se explota, permite a un hacker hacerse pasar por cualquier computadora, incluido el controlador de dominio raíz.
Un año más tarde, se podría decir que no solo es una de las vulnerabilidades más explotadas de 2020, sino que continuó en 2021 como demuestra la reciente alerta de ciberseguridad conjunta de organismos gubernamentales internacionales.
En América Latina, el trabajo remoto sigue siendo una realidad. Las vulnerabilidades de ejecución remota de código como Zerologon han tomado un rol primordial y se han demostrado ser de las preferidas por los atacantes.
Pero ¿Qué es Zerologon?
Es una vulnerabilidad crítica que permite elevación de privilegios en el protocolo remoto de Netlogon de Windows (MS-NRPC), un protocolo se utiliza para mantener las relaciones de los controladores de dominio (DCs) dentro y a través de los dominios. Fundamentalmente, MS-NRPC se utiliza para gestionar los cambios de cuenta de los DCs, como las contraseñas.
Netlogon es un componente central de autenticación de Active Directory, lo que significa que básicamente proporciona un canal seguro entre los ordenadores y los controladores de dominio. Esto hace que Active Directory (AD) sea un objetivo muy preocupante para Zerologon. Si un atacante fuera capaz de explotarlo, podría suplantar cualquier máquina de la red, restablecer la contraseña de administrador del controlador de dominio o lanzar ataques de ransomware contra toda la red.
¿Qué se puede hacer?
Identificar los sistemas afectados. Es fundamental asegurarse de que todos los controladores de dominio estén actualizados para garantizar la seguridad de las infraestructuras de TI.
Una lista de plugins de Tenable para identificar esta vulnerabilidad se puede encontrar dando clic aquí.
Al cumplirse un año de la revelación, ¿Qué ocurrió realmente? ¿Hubo advertencias tempranas que fueron ignoradas?
Cuando fue corregido inicialmente por Microsoft como parte de su actualización mensual regular del Patch Tuesday en agosto de 2020, Zerologon (CVE-2020-1472) recibió una atención limitada. Sin embargo, para finales de año, fue el centro de varias alertas gubernamentales y había sido adoptado por actores de amenazas de diversas motivaciones y capacidades.
Claire Till, Ingeniera Senior de Investigación en Tenable, ha publicado su análisis completo de Zerologon en el Blog de Tenable. En el informe de Tenable Threat Landscape Retrospective se ofrece una visión más detallada de las vulnerabilidades de 2020 y de cómo Zerologon encaja en el panorama de seguridad más amplio.
De acuerdo a Claire Till en un año de vulnerabilidades e incidentes que han dado lugar a titulares, Zerologon (CVE-2020-1472) destaca por su amplia adopción por parte de los actores de la amenaza y por su accidentado calendario de divulgación. El verano de 2020 fue un mes agotador en el sector de la ciberseguridad. Solo en las publicaciones de seguridad programadas y recurrentes de Oracle, Microsoft y Adobe, se añadieron más de 800 vulnerabilidades a las listas de prioridades entre el 14 de julio y el 10 de septiembre de 2020, comentó la ingeniera de Tenable.
Microsoft parchó 120 CVEs en agosto, incluyendo Zerologon, calificando la vulnerabilidad como Crítica y puntuándola con un 8,8, afirmando que su explotación era menos probable. Sin embargo, y la línea de tiempo es un poco imprecisa, más tarde ese mismo día Microsoft actualizó su guía volviendo a calificar a Zerologon como 10.0 con una explotación más probable.
Esta podría ser la razón por la que recibió una mención limitada en la mayoría de los análisis del Martes de Parches.Los defensores dependen de la información precisa y oportuna de los proveedores para tomar decisiones de priorización eficaces. Cuanto menos información reciban o más inexacta sea, más difícil será para la industria defenderse de los atacantes”.
Claire Till, Ingeniera Senior de Investigación en Tenable