¡CUIDADO! Se encontró una vulnerabilidad crítica en Windows Server

7
  ¡CUIDADO!  Se encontró una vulnerabilidad crítica en Windows Server

Si tiene el sistema Windows Server en su organización, debe actualizarlo lo antes posible con los últimos parches de Microsoft. Se ha descubierto una vulnerabilidad crítica en este sistema operativo Windows Server desde la versión 2008 hasta las últimas versiones disponibles, es decir, afecta a todas y cada una de las versiones de Microsoft. Esta vulnerabilidad tiene una criticidad de 10.0, además, ya existen PoCs que permiten explotar esta vulnerabilidad fácilmente.

Versiones de Microsoft Windows Server afectadas por Zerologon

La vulnerabilidad llamada Zerologon fue corregida por Microsoft en su boletín de seguridad el pasado mes de agosto, pero es ahora que se ha hecho pública para dar a los administradores de sistemas un tiempo razonable para instalar estos parches y verificar que todo funciona correctamente. Microsoft lanzó un aviso de seguridad el 11 de agosto de 2020 confirmando la vulnerabilidad descubierta en todas las versiones de Windows:

  • Windows Server 2008 R2 para sistemas basados ​​en x64 Service Pack 1
  • Windows Server 2012
  • Windows Server 2012 (instalación Server Core)
  • Windows Server 2012 R2
  • Windows Server 2012 R2 (instalación Server Core)
  • Windows Server 2016
  • Windows Server 2016 (instalación Server Core)
  • Windows Server 2019
  • Windows Server 2019 (instalación Server Core)
  • Windows Server, versión 1903 (instalación Server Core)
  • Windows Server, versión 1909 (instalación Server Core)
  • Windows Server, versión 2004 (instalación Server Core)

¿Qué es esta vulnerabilidad crítica?

Esta vulnerabilidad, clasificada como crítica 10/10, afecta directamente a los controladores de dominio (DC) en directorios activos (AD). Debido a un error en la implementación incorrecta de AES-CFB8 en el protocolo Netlogon, un atacante podría establecer una nueva contraseña sin más requisitos, todo para tomar el control completo del DC y obtener las credenciales de usuario administrador. La falla está ubicada en el apretón de manos de autenticación inicial, ya que la autenticación generalmente se pasa por alto, por lo tanto, un atacante solo tiene que establecer una conexión TCP con un controlador de dominio vulnerable, simplemente por estar dentro de la red local sería suficiente para explotar esta falla, ya que no requiere ningún tipo de credencial de dominio.

Debido a este error en la implementación de AES, puede obtener el control total del DC y establecer una contraseña vacía en el dominio. Debido a la falta de autenticación a la hora de explotar esta falla de seguridad, esta vulnerabilidad se ha denominado «Zerologon».

El grupo de investigadores de seguridad ha publicado un prueba de concepto (PoC) donde puede aprovechar esta vulnerabilidad y verificar si un sistema operativo está parcheado contra esta falla de seguridad, o aún no. Según la escala CVSSv3, esta falla de seguridad tiene una criticidad máxima de 10.0, ya que simplemente necesitamos tener «visibilidad» del controlador de dominio, por lo tanto, estar dentro de la red es suficiente.

¿Cómo puedo solucionar esta vulnerabilidad en mi servidor Windows?

Para resolver esta vulnerabilidad, debe actualizar todos los controladores de dominio de AD (Active Directory) en su organización, luego puede visite el enlace directo al parche de Zerologon proporcionada por la propia Microsoft, lo que indica que la vulnerabilidad es crítica y que se recomienda instalarla lo antes posible. Es fundamental parchear los sistemas operativos lo antes posible para evitar la explotación de esta vulnerabilidad por parte de usuarios malintencionados, además, Microsoft ha publicado un tutorial para ayudar al administrador de sistemas a actualizar sus sistemas y configurar el sistema correctamente.

Nosotros recomendamos acceder al documento de vulnerabilidades de Zerologon en PDF donde encontrará en detalle el funcionamiento de esta grave brecha de seguridad.

Dejar respuesta

Please enter your comment!
Please enter your name here