La agencia de ciberseguridad e infraestructura de la seguridad (CISA) ha enviado una directiva de emergencia a las agencias del gobierno de los Estados Unidos a instalar un parche para una vulnerabilidad crítica de Windows Server conocida como ZeroLogon. El riesgo es tal, que puede permitir a los ciberdelincuentes explotar la vulnerabilidad en tan solo 3 segundos, ya que no necesiten robar ni hacer uso de contraseñas para acceder a los controladores de dominio.
¿Qué quiere decir esto? Que cualquier usuario de una red que sea capaz de alcanzar el controlador de dominio, es capaz de realizar este ataque, lo que permitiría a un potencial atacante cambiar la contraseña de un controlador de dominio. Una vez ejecutada esta vulnerabilidad con éxito, el atacante podría extraer con total facilidad el contenido de la base de datos NTDS del directorio activo que posee ese controlador de dominio. Es decir que a partir de este momento, el atacante puede hacerse administrador del dominio con total libertad.
Ante tal riesgo, la recomendación es implementar un parche en la infraestructura de forma urgente ya que, de no corregirse esta vulnerabilidad, quedarían comprometidos los servicios de identidad de red. No siempre es posible realizar este tipo de medidas inmediatamente, por lo cual es muy importante monitorizar las conexiones a los controladores de dominio, así como prestar especial atención a los eventos nativos de Windows Logs y Sysmon. El fallo encontrado en el Protocolo Remoto de Microsoft Windows Netlogon, un componente central de autenticación de Active Directory, afecta a los sistemas que ejecutan Windows Server 2008 R2 y posteriores, incluyendo servicios recientes que utilizan versiones de Server basadas en Windows 10.
Hace un mes, Microsoft ya lanzó un parche (CVE-2020-1472) para solventar esta problemática pero, ante la evolución del riesgo, ya previó la necesidad de implementar un segundo parche a principios del próximo 2021 para terminar completamente con esta vulnerabilidad.
