diciembre 6, 2024

El exploit de Windows de Zerologon permite a los atacantes convertirse inmediatamente en administradores de redes corporativas

Una papa caliente: Se considera una buena práctica entre los administradores de sistemas no instalar actualizaciones de software tan pronto como estén disponibles, a menos que solucionen intencionalmente las fallas de seguridad. En el caso de las actualizaciones de Windows, más aún debido a la historia reciente de un control de calidad deficiente que resulta en más problemas después de la instalación. Esta vez, sin embargo, la gravedad de una falla recientemente descubierta hace que el riesgo palidezca en comparación con el riesgo de comprometer el dominio de Windows.

Los investigadores de seguridad han revelado un nuevo código de prueba de concepto para una falla de Windows que permite a un atacante infiltrarse fácilmente en las redes corporativas, obtener privilegios administrativos y obtener acceso completo a los controladores de dominio de Active Directory en los servidores de Windows.

La falla, denominada “Zerologon”, es esencialmente una falla importante relacionada con la escalada de privilegios que Microsoft corrigió en las actualizaciones de seguridad de agosto de 2021. Esto significa que si ha demorado la instalación de esos parches, es posible que tenga una falla importante problema en sus manos, ya que ahora hay cuatro métodos adicionales demostrados en GitHub.

Cuando la empresa de seguridad holandesa Secura descubrió una vulnerabilidad en Netlogon, fue catalogada como un defecto menos grave que Zerologon, ya que requería un ataque de persona intermedia para convertirse en una herramienta eficaz para los atacantes. Sin embargo, Zerologon permite que un atacante cree un token de autenticación para el protocolo Netlogon Remote, que ofrece la posibilidad de establecer la contraseña de la computadora del controlador de dominio en algo que elija.

Los investigadores explicaron que el problema se debe al mal uso del cifrado AES-CFB8, que requiere vectores de inicialización generados aleatoriamente para cada mensaje de autenticación. Pero debido a que Windows no tiene en cuenta este requisito, un atacante puede poner ceros en campos específicos para tomar el control del controlador de dominio en segundos, en un proceso que se describe aquí.

El parche de seguridad de agosto de 2021 de Microsoft hace cumplir este requisito para hacer que todos los ataques de Zerologon sean ineficaces, y Secura ha lanzado un script de Python que puede indicar a los administradores si su controlador de dominio se ha corregido correctamente.

Enlace permanente a la historia.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *