Los investigadores han desarrollado y publicado un exploit de prueba de concepto para una vulnerabilidad de Windows.  Esta ha sido recientemente parcheada y puede permitir el acceso a las joyas de la corona de una organización. Los controladores de dominio de Active Directory. Estos actúan como un portero todopoderoso para todas las máquinas conectadas a una red.

CVE-2020-1472, a medida que se realiza un seguimiento de la vulnerabilidad, tiene una clasificación de gravedad crítica de Microsoft, así como un máximo de 10 bajo el sistema de puntuación de vulnerabilidad común. Las vulnerabilidades requieren que un atacante ya tenga un punto de apoyo dentro de una red dirigida, ya sea como un experto sin privilegios o a través del compromiso de un dispositivo conectado.

Un error con un enorme impacto

Este tipo de exploits se han vuelto cada vez más valiosos para los atacantes lanzando ransomware o spyware de espionaje. Engañar a los empleados para hacer clic en enlaces maliciosos y archivos adjuntos en el correo electrónico es relativamente fácil. Usar esos equipos comprometidos para pivotar hacia recursos más valiosos puede ser mucho más difícil.

A veces puede tomar semanas o meses escalar los privilegios de bajo nivel a los necesarios para instalar malware o ejecutar comandos. Ahora entra en escena Zerologon, un exploit desarrollado por investigadores de la empresa de seguridad Secura. Permite a los atacantes obtener instantáneamente el control de Active Directory. A partir de ahí, tendrán rienda suelta para hacer casi cualquier cosa que quieran, desde la adición de nuevos ordenadores a la red hasta infectar cada uno con malware de su elección.

«Este ataque tiene un gran impacto», escribieron los investigadores de Secura en un libro blanco publicado el viernes. «Básicamente permite que cualquier atacante en la red local (como un interno malintencionado o alguien que simplemente enchufó un dispositivo a un puerto de red local) ponga en peligro completamente el dominio de Windows. El ataque es completamente desatentado: el atacante no necesita ninguna credencial de usuario.»

Un exploit fácil de replicar

Los investigadores de Secura, que descubrieron la vulnerabilidad y la informaron a Microsoft, dijeron que desarrollaron un exploit que funciona de forma fiable, pero dado el riesgo, no lo están liberando hasta que están seguros de que el parche de Microsoft ha sido ampliamente instalado en servidores vulnerables. Los investigadores, sin embargo, advirtieron que no es difícil utilizar el parche de Microsoft para trabajar hacia atrás y desarrollar un exploit. Mientras tanto, investigadores ajenos a Secura de otras empresas de seguridad han publicado su propio código de ataque de pruebas de concepto aquí, aquí y aquí.

La publicación y descripción del código de explotación rápidamente llamó la atención de la Agencia de Seguridad de la Ciberseguridad y La Infraestructura de los Estados Unidos, que trabaja para mejorar la ciberseguridad en todos los niveles de gobierno. Este lunes, Twitter era un hervidero ante comentarios que comentaban sobre la amenaza que representa la vulnerabilidad.

«Zerologon (CVE-2020-1472), la vulnerabilidad más loca de la historia!», escribió un usuario de Windows. «Privilegios de administrador de dominio inmediatamente desde el acceso de red no autenticado a DC.»

«Recuerda algo sobre el acceso menos privilegiado y que no importa si pocas cajas se pwned?» Zuk Avraham, un investigador fundador y CEO de la firma de seguridad ZecOps, escribió. «Oh, bien… CVE-2020-1472 / #Zerologon básicamente va a cambiar de opinión.»

We can't just ignore attackers when they don't cause damage. We can't just wipe computers with malware / issues without looking into the problems first. We can't just restore an image without checking which other assets are infected / how the malware got in.

— Zuk (@ihackbanme) September 14, 2020

Las llaves del reino

Zerologon funciona enviando una cadena de ceros en una serie de mensajes que utilizan el protocolo Netlogon, en el que dependen los servidores de Windows para una variedad de tareas, lo que incluye permitir a los usuarios finales iniciar sesión en una red. Las personas sin autenticación pueden usar el exploit para obtener credenciales administrativas de dominio, siempre y cuando los atacantes tengan la capacidad de establecer conexiones TCP con un controlador de dominio vulnerable.

La vulnerabilidad se deriva de la implementación de Windows de AES-CFB8.  También con el uso del protocolo de criptografía AES con retroalimentación de cifrado para cifrar y validar los mensajes de autenticación a medida que atraviesan la red interna

Habitualmente con Office tenemos que trabajar en una infinidad de documentos y archivos. Muchas veces sólo es necesario echar un vistazo. Sin embargo, podemos perder el hilo de lo que teníamos que hacer o lo que acabamos de hacer.

Office prepara una función de historial

La nueva función que nos ofrece Office busca ayudarnos a mantener un historial de archivos en base a los comentarios para hacerlo más cómodo y visual. De esta manera sabemos en que estamos trabajando y los archivos que han compartido con nosotros.

Esta nueva característica llegaría a la web, su portal para Microsoft 365, que también nos permite crear y editar documentos en Office Online.

La nueva función se llama Catch Up y se puede encontrar en la lista de aplicaciones en el menú de hamburguesa Office.com, si tenéis el nuevo menú, esta nos permitirá ver y responder a los comentarios sobre nuestros documentos y los de los colaboradores.

ALumia, que reveló la característica, señala que los comentarios serán sobre escritos, lo que debería ayudar a mantenerlos organizados.

Microsoft ha lanzado una nueva compilación de Office. La nueva versión preliminar de Office Insider 13231.20126 incluye nuevas características para Word, Excel, PowerPoint y Outlook.

Las novedades que llegan a Office

La última compilación de Office Insider nos ofrece Application Guard para Word, Excel y PowerPoint, lo que significa que los clientes empresariales ahora podrán aislar documentos malintencionados sin poner sus datos, dispositivo o identidad en riesgo. La actualización también añade la capacidad de escribir de forma más eficiente mediante la predicción de texto de forma rápida, oportuna y precisa. Con la última compilación de Office Insider instalada, los usuarios de Excel podrán escribir directamente en las celdas y se convertirá automáticamente a datos de Excel. Puede leer el registro de cambios oficial completo a continuación.

Application Guard para Office

Application Guard para Office es una característica de seguridad para los clientes empresariales que aísla los documentos que no son de confianza en un entorno limitado virtualizado para proteger al usuario si un documento es malintencionado. Un usuario puede trabajar con un documento que no es de confianza en Application Guard y ser productivo sin poner en riesgo nuestros datos, dispositivo o identidad.

Presentación de las predicciones de texto del editor

Las predicciones de texto del editor ayudan a los usuarios a escribir de forma más eficiente mediante la predicción de texto de forma rápida, oportuna y precisa. También reduce la posibilidad de errores ortográficos y gramaticales en Outlook y Word. Para aceptar la sugerencia, simplemente debemos presionar la tecla Tabulador.

Excel

Escribe a mano los datos con el lápiz de acción de Excel

Ahora podemos introducir datos con el lápiz en Excel para el escritorio de Windows. El Lápiz de Excel nos ayudará a escribir a mano directamente en las celdas y le permitirá anotar datos con tinta que se convierte automáticamente en datos de Excel.

Outlook

Recibe sugerencias al buscar por persona

A medida que escribimos los términos de búsqueda en Outlook, recibiremos los correos electrónicos más relevantes que aparecen en las sugerencias.

Pequeñas mejoras que siguen haciendo de la suite de Office una serie de herramientas fundamentales. Controla las nuevas funcionalidades de Office.