Detección del Ataque Zerologon (CVE-2020-1472)

Después de un julio muy caluroso, especialmente fructífero para vulnerabilidades críticas (1, 2, 3), el Patch Tuesday de Microsoft en agosto fue relativamente tranquilo. Sí, una vez más se parchearon más de cien vulnerabilidades, sí, 17 fallos fueron clasificados como Críticos, y Microsoft no señaló errores del nivel “Todos estamos condenados”. Aunque en ese momento los investigadores de seguridad prestaron atención al ataque Zerologon, la falla crítica de elevación de privilegios (CVE-2020-1472) que permite a los atacantes malinterpretar el Protocolo Remoto de Netlogon y obtener acceso de administrador a un controlador de dominio.

Vulnerabilidad Zerologon

Básicamente, la CVE-2020-1472 descubierta (puntuación CVSS: 10.0) le dio paso a los estafadores para tomar el control de la cuenta de Administrador de Dominio capturada. La vulnerabilidad recibió la puntuación de severidad más alta por el Sistema Común de Puntuación de Vulnerabilidades ya que se esperan con un alto grado de probabilidad exploits POC aplicables y actividades maliciosas asociadas con la explotación de CVE-2020-1472.

La vulnerabilidad CVE-2020-1472 está directamente relacionada con el algoritmo criptográfico utilizado en el Protocolo Remoto de Netlogon. La vulnerabilidad recibió su nombre debido a la especificidad de la explotación cuando la variable de inicio, o vector de inicialización, se estableció a ceros en lugar de números aleatorios.

Detalles técnicos sobre el ataque Zerologon

Hoy la empresa de seguridad Secura ha publicado los detalles técnicos detrás del fallo crítico Zerologon, y la evidencia de la facilidad de explotación de la vulnerabilidad CVE-2020-1472 ya ha comenzado a surgir. Zerologon permite a un hacker tomar el control del controlador de dominio victimizado. Para establecer una sesión TCP con un controlador de dominio, los hackers suelen estar dentro de la red con acceso físico al equipo, o tienen un punto de apoyo desde fuera de la red. En primer lugar, los estafadores deben suplantar las credenciales de una computadora en las redes de la empresa, lo cual es posible en menos de 256 intentos debido al pobre Vector de Inicialización del Protocolo Remoto de Netlogon. Luego, los hackers deshabilitarían el mecanismo de transporte de encriptación dentro del MS-NRPC para despejar el camino para sus acciones futuras, cambiando la contraseña de la cuenta que se usó inicialmente para ingresar al sistema para que la computadora no pueda iniciar sesión.

Actualización de seguridad y mitigación de CVE-2020-1472

Microsoft planea resolver el problema de seguridad en dos fases, modificando radicalmente la conexión de dispositivos dentro de redes corporativas.

La primera, la Fase de Implementación Inicial, comenzó el 11 de agosto de 2020. Durará hasta el primer trimestre de 2020 y durante este tiempo se lanzarán actualizaciones. Para advertir a los administradores sobre conexiones vulnerables de Netlogon aliadas a CVE-2020-1472, Microsoft agregó nuevos EventIDs, junto con actualizaciones para las versiones afectadas de Windows Server.  Entre ellos, se añadió el EventID 5829 para informar sobre conexiones vulnerables de Netlogon. 

En la fase dos – la fase de aplicación – que está planeada para comenzar el 9 de febrero de 2021, con las actualizaciones instaladas, los Controladores de Dominio denegarán conexiones vulnerables de dispositivos que usen conexiones seguras de Netlogon vulnerables, excepto las permitidas por política de grupo.

Detalles técnicos y detección del ataque Zerologon

Ahora los ciberdelincuentes que comprometen un sistema en la red de una organización pueden obtener acceso casi instantáneo a un controlador de dominio. Botnets como Emotet or TrickBot, que brindan acceso a sistemas infectados a otros grupos, se volverán aún más peligrosos, y el tiempo que las pandillas de ransomware tardan desde el momento en que se infiltran en la red hasta que comienzan a cifrar archivos se reducirá significativamente.

Instale la actualización de seguridad cuanto antes si aún no lo ha hecho. También recomendamos descargar e implementar las reglas comunitarias de Adam Swan, nuestro ingeniero principal de caza de amenazas para detectar ataques Zerologon: https://tdm.socprime.com/tdm/info/FgNYLnTxIVrs/7WbXfnQBSh4W_EKGaxL5/

La regla tiene traducciones para las siguientes plataformas:

SIEM: Azure Sentinel, ELK Stack, RSA NetWitness, Splunk, LogPoint, Humio

NTA: Corelight

MITRE ATT&CK: 

Tácticas: Movimiento Lateral

Técnicas: Explotación de Servicios Remotos (T1210)

Nuevas reglas para la detección del ataque Zerologon (vulnerabilidad CVE-2020-1472) se están publicando en SOC Prime Threat Detection Marketplace.
Conexión segura vulnerable de Netlogon permitida por NVISO https://tdm.socprime.com/tdm/info/S4U7tNVmkwFr/Jp2DknQBPeJ4_8xcsU3h/?p=1
Cambio de contraseña de la máquina por usuario anónimo por Adam Swan, equipo SOC Prime https://tdm.socprime.com/tdm/info/EPl2OKBmxbJ6/fHN5k3QBSh4W_EKG8VJB/?p=1#

¿Listo para probar SOC Prime TDM? Regístrese gratis. O únase al Programa de Recompensas por Amenazas para crear su propio contenido y compartirlo con la comunidad TDM.