Zerologon permite al atacante autenticarse como cualquier usuario, cambiar las contraseñas y más
El martes de parches de Microsoft corrigió ayer una de las peores vulnerabilidades jamás reportadas a la compañía: Zerologon, que obtuvo una puntuación de 10/10 en el Common Vulnerability Scoring System, y permite la toma de control remota de cualquier red de Windows usando Active Directory.
Actualiza tus servidores Windows lo antes posible
La vulnerabilidad reside en Netlogon, un proceso que autentica a los usuarios frente a los controladores de dominio, que se utiliza para iniciar sesión en las redes de Windows.
El error Zerologon aprovecha algunos débiles protocolos criptográficos utilizados internamente en Netlogon, lo que permite a los atacantes agregar datos cero a las solicitudes y explotar el programa. Esto permite a los atacantes:
• Cambiar las contraseñas arbitrarias en el Active Directory del controlador de dominio.
• Hacerse pasar por la identidad de otras computadoras en la red.
• Desactivar las funciones de seguridad en el proceso de Netlogon.
Esto definitivamente es digno de la puntuación crítica de 10/10. Le permite al atacante autenticarse como cualquier usuario, cambiar las contraseñas y hacerse cargo de todo el controlador de dominio, y convertirse instantáneamente en el administrador del dominio al subvertir por completo toda la criptografía que generalmente se usa para verificar las contraseñas.
No hace falta decir que debes actualizar tus servidores de Windows ahora.
El ataque también es bastante simple de llevar a cabo, ya que simplemente llena los parámetros específicos del mensaje con ceros, e intentar el protocolo de enlace varias veces para establecer una contraseña vacía en el controlador de dominio, que se muestra aquí en un gráfico del documento técnico de Secura sobre la vulnerabilidad:
Para explotar realmente la vulnerabilidad, los atacantes deberían estar en la red local, lo que al menos descarta el escenario de desastre de que esto suceda a través de una interfaz web vulnerable. Sin embargo, pueden hacerlo desde cualquier computadora de la red, independientemente del privilegio, por lo que sigue siendo muy impactante.
