Zerologon es la última vulnerabilidad crítica detectada en el sistema operativo Windows Server desde la versión 2008 hasta las últimas versiones disponibles, afectando a todas y cada una de las versiones de Microsoft. Esta vulnerabilidad tiene una criticidad de 10.0, además, ya hay PoC que permiten explotar esta vulnerabilidad fácilmente.

Amplía toda la información necesaria sobre Vulnerabilidades recientes de gravedad Alta y Crítica para las que existen exploits disponibles en el site de Panda Security y garantiza tu seguridad y la de tus clientes con la solución que mejor se adapta a ti.

¿Cómo funciona Zerologon?

El Protocolo Remoto de Netlogon es un mecanismo utilizado por la arquitectura de autenticación de cliente de Windows Server. Su función es verificar los inicios de sesión, que quedan registrados y autentificados por los controladores de dominio. Es decir, mantiene un canal seguro a través de procedimientos de cifrado entre el ordenador cliente y el servidor que actúa como controlador de dominio y así facilita que los usuarios inicien sesión en los servidores.

Ahora, debido a un error en la implementación incorrecta de AES-CFB8 en el protocolo Netlogon, un atacante podría establecer una nueva contraseña sin más requisitos, y todo ello para tomar el control completo del DC y hacerse con las credenciales de usuario administrador. El fallo se ubica en el protocolo de enlace de autenticación inicial, ya que se omite la autenticación de manera general, por tanto, un atacante únicamente tiene que establecer una conexión TCP con un controlador de dominio vulnerable, simplemente con estar dentro de la red local sería suficiente para explotar este fallo, ya que no requiere ningún tipo de credencial de dominio.

Además, como comentábamos, ya hay publicada una prueba de concepto (PoC) donde se puede explotar esta vulnerabilidad, y comprobar si un sistema operativo está parcheado contra este fallo de seguridad, o aún no lo está. Según la escala de CVSSv3, este fallo de seguridad tiene criticidad máxima 10.0, ya que simplemente necesitamos tener «visibilidad» del controlador de dominio, por tanto, con estar dentro de la red es suficiente.

Reducir la ventana de oportunidad

Microsoft publicó un parche que corrige la vulnerabilidad Zerologon con una serie de cambios en las conexiones de canal seguro de Netlogon que los administradores deben aplicar. En este sentido, al igual que ocurre con todas las vulnerabilidades, es fundamental que los responsables de IT o de ciberseguridad implementen los parches y actualizaciones lo antes posible para reducir la “ventana de oportunidad” de los ciberatacantes o lo que es lo mismo, el espacio de tiempo antes de que la organización implemente la actualización en el que podrían explotar la vulnerabilidad. Además, Microsoft ha publicado un tutorial para ayudar a los sysadmin a actualizar sus sistemas y a configurar correctamente el sistema.

Y es que las organizaciones no pueden permitirse bajar la guardia ante estas amenazas, e incluso deben reforzar medidas contra aquellas vulnerabilidades explotadas hace ya tiempo. Un ejemplo de ello es una vulnerabilidad de negación de servicio (DoS) de hace seis años que afecta a WordPress y Drupal y que apareció en el último Informe sobre Ciberseguridad en Internet de WatchGuard al estar en la lista de los 10 principales ataques de red por volumen en el segundo trimestre.

El conocimiento de los problemas a los que uno tiene que enfrentarse es muy útil, pero no es suficiente. Para asegurar una postura de ciberseguridad adecuada, hay que estar seguros de contar con un sistema actualizado y que los parches relevantes han sido aplicados en todo momento. Para ayudar a priorizar, gestionar y desplegar los parches y actualizaciones, los clientes de Panda cuentan con Panda Patch Management. Este módulo de Panda Adaptive Defense, que no requiere de despliegues adicionales en el cliente, no solo proporciona parches y actualizaciones para sistemas operativos, sino también para cientos de aplicaciones de terceros.

Además, también pueden utilizar el portal sobre vulnerabilidades críticas que Panda creó para su información.