Microsoft's Patch Tuesday hoy parchea una de las peores vulnerabilidades jamás reportadas a la compañía: Zerologon, que obtuvo una puntuación de 10/10 en el Common Vulnerability Scoring System, y permite la toma remota de control de cualquier red de Windows usando Active Directory.
Actualice sus servidores Windows lo antes posible
La vulnerabilidad reside en Netlogon, un proceso que autentica a los usuarios contra los controladores de dominio, utilizados para iniciar sesión en las redes de Windows.
El error aprovecha algunos protocolos criptográficos débiles utilizados internamente en Netlogon, lo que permite a los atacantes agregar datos cero a las solicitudes y explotar el programa. Esto permite a los atacantes:
- Cambiar contraseñas arbitrarias en el Active Directory del controlador de dominio.
- Suplantar la identidad de otras computadoras en la red.
- Deshabilitar funciones de seguridad en el proceso Netlogon.
Esto definitivamente merece la puntuación crítica de 10/10. Permite que el atacante se autentique como cualquier usuario, cambie las contraseñas y se haga cargo de todo el controlador de dominio, y se convierta instantáneamente en el administrador del dominio al subvertir por completo toda la criptografía que generalmente se usa para verificar las contraseñas.
No hace f alta decir que debe actualizar sus servidores de Windows hoy.
El ataque también es bastante simple de llevar a cabo, ya que simplemente llena los parámetros específicos del mensaje con ceros e intenta el apretón de manos varias veces para establecer una contraseña vacía en el controlador de dominio, que se muestra aquí en un gráfico del documento técnico de Secura en la vulnerabilidad:
Para explotar realmente la vulnerabilidad, los atacantes deberían estar en la red local, lo que al menos descarta el escenario de desastre de que esto suceda a través de una interfaz web vulnerable. Pero puede hacerlo cualquier computadora en la red, independientemente del privilegio, por lo que sigue siendo muy impactante.
