Una vulnerabilidad crítica de seguridad ha sido encontrada en el cifrado Netlogon que podría permitir establecer la contraseña de la computadora del controlador de dominio en un valor conocido.
La vulnerabilidad ha sido catalogada como CVE-2020-1472 y denominada “Zerologon”. Fue descubierta por Tom Tervoort, experto de seguridad de Secura.
Un atacante que explote exitosamente la vulnerabilidad podría convertirse en administrador de dominio, tomando el control del controlador de dominio.
La falla se encuentra en el esquema de autenticación criptográfica utilizado por el Protocolo Remoto Netlogon para actualizar las contraseñas de las computadoras. Permite a los atacantes hacerse pasar por cualquier computadora, incluido el controlador de dominio, y ejecutar llamadas a procedimientos remotos en su nombre.
Se ha publicado una herramienta de prueba en Github, con la que se puede identificar si un controlador de dominio es vulnerable o no, aprovechándose de las fallas en un protocolo de autenticación criptográfica que prueba la autenticidad e identidad de un dominio – Computadora unida al DC. Debido al uso incorrecto de un modo de operación AES, es posible falsificar la identidad de cualquier cuenta de computadora (incluida la del mismo DC) y establecer una contraseña vacía para esa cuenta en el dominio.
Es recomendable instalar, lo más rápido posible, los parches de seguridad de agosto de 2020 de Microsoft en todos los controladores de dominio de Active Directory. Dejar un DC sin parches permitirá a los atacantes comprometerlo y otorgarse privilegios de administrador de dominio. Lo único que necesita un atacante para eso es la capacidad de configurar conexiones TCP con un DC vulnerable; es decir necesitan tener un punto de apoyo en la red, pero no requieren ninguna credencial de dominio.
Secura ha prometido no publicar el exploit completo de la prueba de concepto, aunque es posible que un exploit similar podría ser desarrollado por ciberdelincuentes, basándose únicamente en el parche para el CVE.
Para más detalles, consulte el documento técnico sobre la vulnerabilidad CVE-2020-1472.