El ataque Zerologon permite a los piratas informáticos hacerse cargo de las redes empresariales: parchea ahora



Sin que muchos lo supieran, el mes pasado Microsoft corrigió uno de los errores más graves jamás reportados a la compañía, un problema del que se podría abusar para controlar fácilmente los servidores Windows que se ejecutan como controladores de dominio en redes empresariales. El error se corrigió en el martes de parches de agosto de 2020 con el identificador CVE-2020-1472. Se describió como una elevación de privilegios en Netlogon, el protocolo que autentica a los usuarios frente a los controladores de dominio.
La vulnerabilidad recibió la clasificación de gravedad máxima de 10, pero los detalles nunca se hicieron públicos, lo que significa que los usuarios y administradores de TI nunca supieron cuán peligroso era realmente el problema. Pero en una publicación de blog de hoy, el equipo de Secura B.V.
, una firma de seguridad holandesa, finalmente levantó el velo de este misterioso error y publicó un informe técnico que describe CVE-2020-1472 con mayor profundidad. Y según el informe, el error es realmente digno de su puntuación de gravedad CVSSv3 de 10/10. Según los expertos de Secura, el error, al que llamaron Zerologon, aprovecha un algoritmo criptográfico débil utilizado en el proceso de autenticación de Netlogon.
Este error permite a un atacante manipular los procedimientos de autenticación de Netlogon y: La esencia, y la razón por la que el error se ha llamado Zerologon, es que el ataque se realiza agregando cero caracteres en ciertos parámetros de autenticación de Netlogon (vea el gráfico a continuación). Imagen: Secura Todo el ataque es muy rápido y puede durar hasta tres segundos como máximo. Además, no hay límites en la forma en que un atacante puede usar el ataque Zerologon.
Por ejemplo, el atacante también podría hacerse pasar por el controlador de dominio y cambiar su contraseña, lo que permite que el pirata informático se apodere de toda la red corporativa. Existen limitaciones sobre cómo se puede utilizar un ataque de Zerologon. Para empezar, no se puede utilizar para tomar el control de servidores Windows desde fuera de la red.
Un atacante primero necesita un punto de apoyo dentro de una red. Sin embargo, cuando se cumple esta condición, literalmente se termina el juego para la empresa atacada. "Este ataque tiene un gran impacto", dijo el equipo de Secura.
"Básicamente permite que cualquier atacante en la red local (como un interno malintencionado o alguien que simplemente conectó un dispositivo a un puerto de red local) comprometer completamente el dominio de Windows ". Además, este error también es una bendición para las bandas de malware y ransomware, que a menudo se basan en infectar una computadora dentro de la red de una empresa y luego propagarse a muchas otras. Con Zerologon, esta tarea se ha simplificado considerablemente.
Pero parchear Zerologon no fue una tarea fácil para Microsoft, ya que la compañía tuvo que modificar la forma en que miles de millones de dispositivos se conectan a las redes corporativas, interrumpiendo efectivamente las operaciones de innumerables empresas. Este proceso de parcheo está programado para tener lugar en dos fases. El primero tuvo lugar el mes pasado, cuando Microsoft lanzó una solución temporal para el ataque Zerologon.
Este parche temporal hizo que las funciones de seguridad de Netlogon (que Zerologon estaba deshabilitando) fueran obligatorias para todas las autenticaciones de Netlogon, rompiendo efectivamente los ataques de Zerologon. No obstante, un parche más completo está programado para febrero de 2021, en caso de que los atacantes encuentren una forma de evitar los parches de agosto. Desafortunadamente, Microsoft anticipa que este último parche terminará rompiendo la autenticación en algunos dispositivos.
Aquí se describen algunos detalles sobre este segundo parche. Los ataques que usan Zerologon son un hecho, principalmente debido a la gravedad del error, el amplio impacto y los beneficios para los atacantes. Secura no ha publicado un código de prueba de concepto para un ataque de Zerologon armado, pero la compañía espera que finalmente salgan a la luz después de que su informe se difunda hoy en línea.
Mientras tanto, la compañía ha lanzado una secuencia de comandos de Python, una secuencia de comandos que puede indicar a los administradores si su controlador de dominio se ha parcheado correctamente. Actualizado a las 5:00 p.m. ET para agregar que, como se esperaba, el código de prueba de concepto armado se ha puesto a disposición del público, lo que significa que la ventana de explotación de esta vulnerabilidad ahora está abierta.

Yorumlar

Yorum Gönder

Bu blogdaki popüler yayınlar

Una lista de conferencias de seguridad canceladas o pospuestas debido a preocupaciones de coronavirus

Resim
Getty Images / iStockphoto A medida que las conferencias tecnológicas y las ferias comerciales se cancelan, posponen o se vuelven virtuales de izquierda a derecha, muchos eventos de seguridad cibernética se enfrentan a un destino similar, todo debido a problemas de salud causados ​​por el nuevo coronavirus conocido como COVID-19. Los profesionales de la seguridad cibernética que no pudieron asistir a algunas de sus conferencias favoritas antes, principalmente debido a razones de tiempo, viaje o salud, pueden descubrir que algunos eventos ahora se transmiten y pueden ver sesiones desde la comodidad o su hogar o espacio de trabajo. La siguiente lista abarca una lista de los próximos eventos y su estado respectivo. Las conferencias que no figuran en la lista están programadas para continuar según lo planeado. La lista incluye solo cancelaciones, conferencias pospuestas o aquellos que anunciaron planes para transmitir su contenido. fuerte - 9 de marzo a 11 de marzo, Zurich - Estado ac...
Devamı

Las tasas de parches OEM de Android han mejorado, con Nokia y Google liderando la carga

Resim
Imagen: Dmitry Bayer Las actualizaciones de seguridad están llegando a los usuarios de Android de manera más rápida y confiable que en años anteriores. En una investigación publicada este mes, la firma alemana de ciberseguridad SRLabs dijo que la brecha del parche de Android se ha reducido de 44 días en 2018 a 38 días hoy. El término retraso de parche de Android, o brecha de parche, se refiere al tiempo desde que Google publica formalmente una actualización de seguridad en su sitio web, y hasta que un proveedor de teléfonos inteligentes (OEM o fabricantes de equipos originales) integra el parche en su firmware. SRLabs dice que recopiló información sobre retrasos en los parches utilizando su aplicación de escáner de seguridad SnoopSnitch instalada en más de 500,000 teléfonos inteligentes Android. Si bien la compañía informó que el retraso del parche se ha reducido en un 15% en los últimos dos años, la brecha del parche varió enormemente entre los proveedores de teléfonos inteligente...
Devamı