Los investigadores han desarrollado y publicado un exploit de prueba de concepto para una vulnerabilidad de Windows. Esta ha sido recientemente parcheada y puede permitir el acceso a las joyas de la corona de una organización. Los controladores de dominio de Active Directory. Estos actúan como un portero todopoderoso para todas las máquinas conectadas a una red.
CVE-2020-1472, a medida que se realiza un seguimiento de la vulnerabilidad, tiene una clasificación de gravedad crítica de Microsoft, así como un máximo de 10 bajo el sistema de puntuación de vulnerabilidad común. Las vulnerabilidades requieren que un atacante ya tenga un punto de apoyo dentro de una red dirigida, ya sea como un experto sin privilegios o a través del compromiso de un dispositivo conectado.
Un error con un enorme impacto
Este tipo de exploits se han vuelto cada vez más valiosos para los atacantes lanzando ransomware o spyware de espionaje. Engañar a los empleados para hacer clic en enlaces maliciosos y archivos adjuntos en el correo electrónico es relativamente fácil. Usar esos equipos comprometidos para pivotar hacia recursos más valiosos puede ser mucho más difícil.
A veces puede tomar semanas o meses escalar los privilegios de bajo nivel a los necesarios para instalar malware o ejecutar comandos. Ahora entra en escena Zerologon, un exploit desarrollado por investigadores de la empresa de seguridad Secura. Permite a los atacantes obtener instantáneamente el control de Active Directory. A partir de ahí, tendrán rienda suelta para hacer casi cualquier cosa que quieran, desde la adición de nuevos ordenadores a la red hasta infectar cada uno con malware de su elección.
«Este ataque tiene un gran impacto», escribieron los investigadores de Secura en un libro blanco publicado el viernes. «Básicamente permite que cualquier atacante en la red local (como un interno malintencionado o alguien que simplemente enchufó un dispositivo a un puerto de red local) ponga en peligro completamente el dominio de Windows. El ataque es completamente desatentado: el atacante no necesita ninguna credencial de usuario.»
Un exploit fácil de replicar
Los investigadores de Secura, que descubrieron la vulnerabilidad y la informaron a Microsoft, dijeron que desarrollaron un exploit que funciona de forma fiable, pero dado el riesgo, no lo están liberando hasta que están seguros de que el parche de Microsoft ha sido ampliamente instalado en servidores vulnerables. Los investigadores, sin embargo, advirtieron que no es difícil utilizar el parche de Microsoft para trabajar hacia atrás y desarrollar un exploit. Mientras tanto, investigadores ajenos a Secura de otras empresas de seguridad han publicado su propio código de ataque de pruebas de concepto aquí, aquí y aquí.
La publicación y descripción del código de explotación rápidamente llamó la atención de la Agencia de Seguridad de la Ciberseguridad y La Infraestructura de los Estados Unidos, que trabaja para mejorar la ciberseguridad en todos los niveles de gobierno. Este lunes, Twitter era un hervidero ante comentarios que comentaban sobre la amenaza que representa la vulnerabilidad.
«Zerologon (CVE-2020-1472), la vulnerabilidad más loca de la historia!», escribió un usuario de Windows. «Privilegios de administrador de dominio inmediatamente desde el acceso de red no autenticado a DC.»
«Recuerda algo sobre el acceso menos privilegiado y que no importa si pocas cajas se pwned?» Zuk Avraham, un investigador fundador y CEO de la firma de seguridad ZecOps, escribió. «Oh, bien… CVE-2020-1472 / #Zerologon básicamente va a cambiar de opinión.»
We can't just ignore attackers when they don't cause damage. We can't just wipe computers with malware / issues without looking into the problems first. We can't just restore an image without checking which other assets are infected / how the malware got in.
— Zuk (@ihackbanme) September 14, 2020
Las llaves del reino
Zerologon funciona enviando una cadena de ceros en una serie de mensajes que utilizan el protocolo Netlogon, en el que dependen los servidores de Windows para una variedad de tareas, lo que incluye permitir a los usuarios finales iniciar sesión en una red. Las personas sin autenticación pueden usar el exploit para obtener credenciales administrativas de dominio, siempre y cuando los atacantes tengan la capacidad de establecer conexiones TCP con un controlador de dominio vulnerable.
La vulnerabilidad se deriva de la implementación de Windows de AES-CFB8. También con el uso del protocolo de criptografía AES con retroalimentación de cifrado para cifrar y validar los mensajes de autenticación a medida que atraviesan la red interna
