Hoy se cumple el aniversario de Zerologon, una de los top 5 vulnerabilidades críticas del 2020 que, cuando se explota, permite a un hacker hacerse pasar por cualquier computadora, incluido el controlador de dominio raíz. Un año más tarde, podría decirse que no solo es una de las vulnerabilidades más explotadas de 2020, sino que siguió en 2021 como demuestra esta reciente alerta de ciberseguridad conjunta de organismos gubernamentales internacionales.
En América Latina, el trabajo remoto sigue siendo una realidad. Las vulnerabilidades de ejecución remota de código como Zerologon han tomado un rol primordial y se han demostrado ser de las preferidas por los atacantes.
¿Qué es Zerologon?
Una vulnerabilidad crítica que permite elevación de privilegios en el protocolo remoto de Netlogon de Windows (MS-NRPC), un protocolo se utiliza para mantener las relaciones de los controladores de dominio (DCs) dentro y a través de los dominios. Fundamentalmente, MS-NRPC se utiliza para gestionar los cambios de cuenta de los DCs, como las contraseñas.
El rol de esta vulnerabilidad en Ransomware
Netlogon es un componente central de autenticación de Active Directory, lo que significa que básicamente proporciona un canal seguro entre los ordenadores y los controladores de dominio. Esto hace que Active Directory (AD) sea un objetivo muy preocupante para Zerologon.
Si un atacante fuera capaz de explotarlo, podría suplantar cualquier máquina de la red, restablecer la contraseña de administrador del controlador de dominio o lanzar ataques de ransomware contra toda la red.
¿Qué hacer ahora?: Identificar los sistemas afectados
En este momento, es fundamental asegurarse de que todos los controladores de dominio estén actualizados para garantizar la seguridad de las infraestructuras de TI.
Al cumplirse un año de la revelación, ¿qué ocurrió realmente? ¿Hubo advertencias tempranas que fueron ignoradas? Cuando fue corregido inicialmente por Microsoft como parte de su actualización mensual regular del Patch Tuesday en agosto de 2020, Zerologon (CVE-2020-1472) recibió una atención limitada. Sin embargo, para finales de año, fue el centro de varias alertas gubernamentales y había sido adoptado por actores de amenazas de diversas motivaciones y capacidades.
De acuerdo a Claire Till, Ingeniera Senior de Investigación en Tenable, en un año de vulnerabilidades e incidentes que han dado lugar a titulares, Zerologon (CVE-2020-1472) destaca por su amplia adopción por parte de los actores de la amenaza y por su accidentado calendario de divulgación. ¨El verano de 2020 fue un mes agotador en el sector de la ciberseguridad. Solo en las publicaciones de seguridad programadas y recurrentes de Oracle, Microsoft y Adobe, se añadieron más de 800 vulnerabilidades a las listas de prioridades entre el 14 de julio y el 10 de septiembre de 2020¨, comentó.
Microsoft parchó 120 CVEs en agosto, incluyendo Zerologon, calificando la vulnerabilidad como «Crítica» y puntuándola con un 8,8, afirmando que su explotación era «menos probable». Sin embargo, y la línea de tiempo es un poco imprecisa, más tarde ese mismo día Microsoft actualizó su guía volviendo a calificar a Zerologon como 10.0 con una explotación «más probable». Esta podría ser la razón por la que recibió una mención limitada en la mayoría de los análisis del Martes de Parches.
«Los defensores dependen de la información precisa y oportuna de los proveedores para tomar decisiones de priorización eficaces. Cuanto menos información reciban o más inexacta sea, más difícil será para la industria defenderse de los atacantes», concluyó Claire Till.