[{"@context":"http:\/\/schema.org\/","@type":"BlogPosting","@id":"https:\/\/ayudaleyprotecciondatos.es\/2021\/10\/14\/zerologon\/#BlogPosting","mainEntityOfPage":"https:\/\/ayudaleyprotecciondatos.es\/2021\/10\/14\/zerologon\/","headline":"Zerologon. Una vulnerabilidad de Windows Server muy peligrosa","name":"Zerologon. Una vulnerabilidad de Windows Server muy peligrosa","description":"Todo lo que debes saber sobre Zerologon, qu\u00e9 es, c\u00f3mo funciona y c\u00f3mo protegerse de esta vulnerabilidad de Microsoft \u00a1M\u00e1s informaci\u00f3n aqu\u00ed!","datePublished":"2021-10-14","dateModified":"2021-10-11","author":{"@type":"Person","@id":"https:\/\/ayudaleyprotecciondatos.es\/author\/agonzar34\/#Person","name":"Ana Gonz\u00e1lez","url":"https:\/\/ayudaleyprotecciondatos.es\/author\/agonzar34\/","image":{"@type":"ImageObject","@id":"https:\/\/secure.gravatar.com\/avatar\/9d20ce04c893956aaa747aa424b64675?s=96&d=blank&r=g","url":"https:\/\/secure.gravatar.com\/avatar\/9d20ce04c893956aaa747aa424b64675?s=96&d=blank&r=g","height":96,"width":96}},"publisher":{"@type":"Organization","name":"AyudaLeyProteccionDatos","logo":{"@type":"ImageObject","@id":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2016\/01\/ayuda-ley-proteccion-datos.png","url":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2016\/01\/ayuda-ley-proteccion-datos.png","width":600,"height":60}},"image":{"@type":"ImageObject","@id":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2021\/08\/zerologon-vulnerabilidad-windows-server.jpg","url":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2021\/08\/zerologon-vulnerabilidad-windows-server.jpg","height":1067,"width":1600},"url":"https:\/\/ayudaleyprotecciondatos.es\/2021\/10\/14\/zerologon\/","about":["CIBERSEGURIDAD"],"wordCount":2469,"articleBody":" if (typeof BingeIframeRan === \"undefined\") { window.addEventListener(\"message\", receiveMessage, false); function receiveMessage(event) { try { var parsed = JSON.parse(event.data) if (parsed.context === \"iframe.resize\") { var iframes = document.getElementsByClassName(\"binge-iframe\"); for (let i = 0; i < iframes.length; ++i) { if (iframes[i].src == parsed.src || iframes[i].contentWindow === event.source) { iframes[i].height = parsed.height; } iframes[i].style.opacity = 1; } } } catch (error) { } } var BingeIframeRan = true; } Zerologon se abri\u00f3 camino en nuestra conciencia colectiva a fines de septiembre de 2020, cuando se revel\u00f3 que los piratas inform\u00e1ticos estaban apuntando activamente a la vulnerabilidad. Si bien el parche completo estuvo disponible en febrero de 2021, tanto Microsoft como la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE.UU. han alentado a las empresas a usar el parche parcial disponible, pero muchos usuarios finales postergaron o no implementaron el parche parcial en absoluto.\u00a0Ahora que tenemos cierta perspectiva sobre la vulnerabilidad, es importante revisar y comprender qu\u00e9 podemos aprender de ella. Zerologon no es de ninguna manera una peque\u00f1a vulnerabilidad. A continuaci\u00f3n, se incluyen varias cosas que las organizaciones deben saber sobre Zerologon, y algunas conclusiones que deben incorporar y tener en cuenta para futuras vulnerabilidades potenciales.\u00bfQu\u00e9 es Zerologon?\u00bfCu\u00e1ndo fue descubierta esta vulnerabilidad?\u00bfC\u00f3mo funciona?\u00bfPor qu\u00e9 es tan peligroso?\u00bfQu\u00e9 parche instalar para evitar el exploit Zerologon?Otros consejos para protegerse de Zerologon\u00bfQu\u00e9 es Zerologon?Zerologon es el nombre que se le da a una vulnerabilidad identificada en CVE-2020-1472. Proviene de una falla en el proceso de inicio de sesi\u00f3n: el vector de inicializaci\u00f3n (IV) se establece en ceros todo el tiempo, mientras que un IV siempre debe ser un n\u00famero aleatorio. Zero Logon ataca por tanto a Windows 10.Esta peligrosa vulnerabilidad tiene un 10 sobre 10 (CVSS v3.1) para la gravedad del Common Vulnerability Scoring System (CVSS). Existen exploits activos de prueba de concepto (POC) conocidos de Zerologon, y es muy probable que veamos ataques en el mundo real pronto.La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) emiti\u00f3 una directiva de emergencia ordenando a las agencias federales civiles que parcheen o deshabiliten inmediatamente todos los servidores Windows afectados y advirti\u00f3 a las organizaciones no gubernamentales que hicieran lo mismo. Microsoft lanz\u00f3 el primero de dos parches en agosto de 2020, y deben aplicarse a todos los controladores de dominio.Zerologon es una vulnerabilidad cr\u00edtica en el Protocolo remoto de Windows Netlogon (MS-NRPC) que, cuando se explota, permite a un pirata inform\u00e1tico hacerse pasar por cualquier computadora, incluido el controlador de dominio ra\u00edz. Netlogon es un componente de autenticaci\u00f3n central de Active Directory, lo que significa que b\u00e1sicamente proporciona un canal seguro entre las computadoras y los controladores de dominio.El acceso administrativo de Active Directory no es una broma, ya que puede otorgar a los atacantes un acceso elevado a las aplicaciones comerciales principales. Con ese acceso, un atacante podr\u00eda modificar una pol\u00edtica de grupo para entregar una carga \u00fatil que se puede enviar a cada computadora con Windows en la red de alguien. Dado que muchos ataques de ransomware entregan una carga \u00fatil que se ejecuta de una vez en una red, sin ninguna posibilidad de detenerlo, esto debe tomarse en serio.A trav\u00e9s de Zerologon, la pol\u00edtica de grupo de Active Directory tambi\u00e9n se puede utilizar para infectar terminales, reconfigurar la seguridad y tomar el control de Active Directory a trav\u00e9s de una parte no protegida de la red. La directiva de grupo es un objetivo espec\u00edfico porque es parte de cada Active Directory, brinda acceso al control sobre todos los sistemas y permite la capacidad de realizar casi cualquier tarea. Todo esto significa que si un atacante logra aprovechar la falla, puede hacer casi cualquier cosa que quiera en un entorno de TI.\u00bfCu\u00e1ndo fue descubierta esta vulnerabilidad?Esta vulnerabilidad fue anunciada en septiembre de 2020 por Tom Tervoort, un investigador holand\u00e9s que trabaja para Secura. En realidad, la vulnerabilidad se corrigi\u00f3 en agosto, pero no fue hasta que el investigador public\u00f3 su informe en septiembre que comenzamos a ver POC y otras actividades.El art\u00edculo de Tervoort detalla su descubrimiento y el proceso que lo condujo. Durante su investigaci\u00f3n, not\u00f3 una falta significativa de informaci\u00f3n sobre MS-NRPC. Intrigado, Tervoort busc\u00f3 m\u00e1s informaci\u00f3n.Si bien Tervoort inicialmente buscaba un ataque de persona en el medio, descubri\u00f3 otra vulnerabilidad detallada en CVE-2020-1424. Continuando con su investigaci\u00f3n, identific\u00f3 lo que ahora se conoce como Zerologon.La parte cr\u00edtica de su descubrimiento es que Microsoft implement\u00f3 una variaci\u00f3n \u00fanica de criptograf\u00eda que es diferente a todos los dem\u00e1s protocolos RPC. En los d\u00edas de Windows NT, las cuentas asignadas a una computadora no se identificaban como un principal de primera clase. Eso significaba que Microsoft no pod\u00eda usar Kerberos o NTLM estandarizados para autenticar cuentas de computadoras o m\u00e1quinas.Como resultado, los desarrolladores crearon una alternativa. Es incre\u00edblemente dif\u00edcil crear c\u00f3digos y protocolos de cifrado que no se puedan descifrar. De hecho, puede pasar mucho tiempo antes de que se descubran los defectos, como es el caso aqu\u00ed.\u00bfC\u00f3mo funciona?Esta vulnerabilidad Zerologon explota una falla criptogr\u00e1fica en el Protocolo remoto de Active Directory Netlogon (MS-NRPC) de Microsoft. Permite a los usuarios iniciar sesi\u00f3n en servidores que utilizan NT LAN Manager (NTLM).El mayor problema con esta vulnerabilidad es que MS-NRPC tambi\u00e9n se usa para transmitir ciertos cambios de cuenta, como contrase\u00f1as de cuentas de servicios inform\u00e1ticos. Pensando en su origen, es posible ver la justificaci\u00f3n para agregar esta caracter\u00edstica. Sin embargo, la falta de validaci\u00f3n en el origen de la solicitud para cambiar estas contrase\u00f1as se ha convertido en un problema de seguridad importante.Esta vulnerabilidad permite a un pirata inform\u00e1tico tomar el control de un controlador de dominio (DC), incluido el DC ra\u00edz. Esto se hace cambiando o eliminando la contrase\u00f1a de una cuenta de servicio en el controlador. El pirata inform\u00e1tico puede entonces simplemente provocar una denegaci\u00f3n de servicio o hacerse cargo y ser propietario de toda la red.Para que los atacantes aprovechen esta vulnerabilidad, deben poder configurar una sesi\u00f3n de protocolo de control de transmisi\u00f3n (TCP) con un controlador de dominio. Si est\u00e1n f\u00edsicamente dentro de la red, podr\u00edan estar en el escritorio de un usuario o en un puerto abierto en una ubicaci\u00f3n como una sala de conferencias.Estos exploits se califican como ataques internos, los ataques m\u00e1s costosos para una empresa en la actualidad. Pueden establecerse desde fuera de la red siempre que puedan establecerse en alg\u00fan lugar para establecer la sesi\u00f3n TCP con el controlador.Al usar AES-CFB8 con un IV fijo de 16 bytes de ceros, Tervoort descubri\u00f3 que existe la posibilidad de que una de cada 256 claves utilizadas cree un texto cifrado que tenga un valor de todos ceros. Esta es una cantidad extremadamente peque\u00f1a de claves para que el atacante intente crear un texto cifrado de todos los ceros. Solo tomar\u00eda una cuesti\u00f3n de 2-3 segundos, como m\u00e1ximo, para que la computadora del hacker hiciera esto.Si la m\u00e1quina que se comunica con un controlador de dominio pertenece a un usuario que simplemente sigue su d\u00eda como de costumbre, no hay ning\u00fan problema real. Se produce este texto cifrado mal construido, pero el proceso de autenticaci\u00f3n de red funcionar\u00e1. El problema solo aparece cuando un hacker intenta explotar el sistema.En el ataque probado por Tervoort, el pirata primero tendr\u00eda que falsificar la credencial o contrase\u00f1a de un cliente en la red. Debido a la mala implementaci\u00f3n del IV dentro de MS-NRPC, solo se necesitan alrededor de 256 intentos para hacerlo bien.Normalmente, la cuenta de un usuario se bloquear\u00eda despu\u00e9s de tres intentos de adivinar una contrase\u00f1a, pero no ocurre lo mismo con una computadora o una cuenta de m\u00e1quina. Cuando una computadora inicia sesi\u00f3n, no se establece un l\u00edmite para los intentos de contrase\u00f1a incorrectos, lo que permite una r\u00e1faga continua de intentos en poco tiempo para que los piratas inform\u00e1ticos ingresen. Deben encontrar una de las claves que produzca un cifrado todo cero. texto.\u00bfQu\u00e9 pueden hacer los piratas inform\u00e1ticos una vez que han falsificado la identidad de una computadora en la red? Con ese primer paso de suplantaci\u00f3n de identidad logrado, el atacante no sabr\u00eda la clave de cifrado real de la sesi\u00f3n. Los atacantes solo han podido falsificar su identidad al finalmente presionar una de las 256 claves que produce un texto cifrado completamente cero. El siguiente paso es deshabilitar \u00abfirmar y sellar\u00bb.La firma y el sellado de RPC es el mecanismo utilizado para el cifrado de transporte dentro de MS-NRPC. Esto parece un proceso l\u00f3gico, ya que deber\u00edamos cifrar m\u00e1s de nuestros datos en tr\u00e1nsito. Sin embargo, dentro de MS-NRPC, esta es una caracter\u00edstica opcional que se desactiva simplemente al no establecer una bandera en el encabezado de un mensaje.Una vez que la firma y el sellado est\u00e1n desactivados, los mensajes se env\u00edan en claro. Los piratas inform\u00e1ticos podr\u00edan realizar cualquier acci\u00f3n que quisieran, incluida la eliminaci\u00f3n de una contrase\u00f1a o la configuraci\u00f3n de otro valor. Habr\u00e1 un parche de Microsoft en febrero de 2021 para exigir la firma y el sellado.El tercer paso es cambiar la contrase\u00f1a de la cuenta que ha sido falsificada. El dispositivo m\u00e1s eficaz para suplantar ser\u00eda un servidor AD, preferiblemente incluso el servidor AD ra\u00edz. Para cambiar la contrase\u00f1a, los atacantes utilizan el mensaje NetServerPasswordSet2 en MS-NRPC.Es posible cambiar una contrase\u00f1a simplemente enviando el marco con la nueva contrase\u00f1a preferida. El m\u00e9todo m\u00e1s sencillo es eliminar la contrase\u00f1a o establecerla en un valor en blanco; el pirata inform\u00e1tico ahora puede iniciar sesi\u00f3n mediante un proceso normal.\u00bfPor qu\u00e9 es tan peligroso?Zerologon aprovecha un algoritmo criptogr\u00e1fico d\u00e9bil utilizado en el proceso de autenticaci\u00f3n de Netlogon.Este error permite que un atacante manipule los procedimientos de autenticaci\u00f3n de Netlogon y:Suplantar la identidad de cualquier computadora en una red al intentar autenticarse contra el controlador de dominioDeshabilitar las funciones de seguridad en el proceso de autenticaci\u00f3n de NetlogonCambiar la contrase\u00f1a de una computadora en el Active Directory del controlador de dominio (una base de datos de todas las computadoras unidas a un dominio y sus contrase\u00f1as).La esencia, y la raz\u00f3n por la que el error se ha llamado Zerologon, es que el ataque se realiza agregando cero caracteres en ciertos par\u00e1metros de autenticaci\u00f3n de Netlogon.Todo el ataque es muy r\u00e1pido y puede durar hasta tres segundos como m\u00e1ximo. Adem\u00e1s, no hay l\u00edmites sobre c\u00f3mo un atacante puede usar el ataque Zerologon. Por ejemplo, el atacante tambi\u00e9n podr\u00eda hacerse pasar por el propio controlador de dominio y cambiar su contrase\u00f1a, lo que le permitir\u00e1 hacerse cargo de toda la red corporativa.Existen limitaciones sobre c\u00f3mo se puede utilizar un ataque de Zerologon en Windows 10. Para empezar, no se puede utilizar para hacerse cargo de servidores Windows desde fuera de la red. Un atacante primero necesita un punto de apoyo dentro de una red.Sin embargo, cuando se cumple esta condici\u00f3n, literalmente se termina el juego para la empresa atacada.Este ataque tiene un impacto enorme. B\u00e1sicamente, permite que cualquier atacante de la red local (como un infiltrado malintencionado o alguien que simplemente conect\u00f3 un dispositivo a un puerto de red local) comprometa por completo el dominio de Windows.Adem\u00e1s, este error tambi\u00e9n es una bendici\u00f3n para las bandas de malware y ransomware, que a menudo se basan en infectar una computadora dentro de la red de una empresa y luego propagarse a muchas otras. Con Zerologon, esta tarea se ha simplificado considerablemente.La detecci\u00f3n de Zerologon es dif\u00edcil ya que el atacante se est\u00e1 autenticando esencialmente en el dominio de una manera que se asemeja al comportamiento leg\u00edtimo de la cuenta \/ usuario. Adem\u00e1s, el vector de ataque principal est\u00e1 a nivel de red, en contraposici\u00f3n a la interacci\u00f3n con el sistema de archivos de un host. Como resultado, abordar la falla directamente est\u00e1 ‘fuera del alcance’ de muchas soluciones tradicionales de seguridad de punto final.\u00bfQu\u00e9 parche instalar para evitar el exploit Zerologon?Parchear Zerologon no fue una tarea f\u00e1cil para Microsoft, ya que la compa\u00f1\u00eda tuvo que modificar la forma en que miles de millones de dispositivos se conectan a las redes corporativas, interrumpiendo efectivamente las operaciones de innumerables empresas.Este proceso de parcheo est\u00e1 programado para tener lugar en dos fases. El primero tuvo lugar en agosto de 2020, cuando Microsoft lanz\u00f3 una soluci\u00f3n temporal para el ataque Zerologon.Este parche temporal hizo que las funciones de seguridad de Netlogon (que Zerologon estaba deshabilitando) fueran obligatorias para todas las autenticaciones de Netlogon, rompiendo efectivamente los ataques de Zerologon.No obstante, un parche m\u00e1s completo se program\u00f3 para febrero de 2021, en caso de que los atacantes encuentren una forma de evitar los parches de agosto. Desafortunadamente, Microsoft anticipa que este \u00faltimo parche terminar\u00e1 rompiendo la autenticaci\u00f3n en algunos dispositivos.Los parches solo est\u00e1n disponibles para las versiones de Windows Server que a\u00fan son compatibles y reciben actualizaciones de seguridad, pero en la pr\u00e1ctica, muchas redes tienen dispositivos de Windows heredados o dispositivos que no son de Windows que se comunican con los controladores de dominio mediante el protocolo.Las actualizaciones permitir\u00e1n a los controladores de dominio (DC) proteger los dispositivos Windows de forma predeterminada, registrar eventos para el descubrimiento de dispositivos no compatibles y tener la opci\u00f3n de habilitar la protecci\u00f3n para todos los dispositivos unidos al dominio con excepciones expl\u00edcitas.Otros consejos para protegerse de ZerologonAqu\u00ed tienes otros consejos que puedes usar para protegerte de la vulnerabilidad Zerologon.Cierra proactivamente las brechas entre parches. Las m\u00e1quinas que no son de Windows todav\u00eda est\u00e1n algo desprotegidas de ZeroLogon. Busca en tu red cuentas de computadora que no sean de Windows con privilegios elevados (por ejemplo, privilegios de replicaci\u00f3n de dominio), ya que podr\u00edan usarse para lanzar un ataque ZeroLogon exitoso incluso en controladores de dominio parcheados.Para mitigar m\u00e1s da\u00f1os, aseg\u00farate de estar monitorizando tu entorno contra tales ataques.Habilita la autenticaci\u00f3n multifactor (MFA) para todas las cuentas o al menos las cuentas con privilegios. En ese caso, incluso si una cuenta privilegiada se ve comprometida, el intento de acceso seguir\u00e1 siendo denegado.Supervisa posibles intentos de explotaci\u00f3n con herramientas de c\u00f3digo abierto."},{"@context":"http:\/\/schema.org\/","@type":"BreadcrumbList","itemListElement":[{"@type":"ListItem","position":1,"item":{"@id":"https:\/\/ayudaleyprotecciondatos.es\/#breadcrumbitem","name":"Ayuda Ley Protecci\u00f3n Datos"}},{"@type":"ListItem","position":2,"item":{"@id":"https:\/\/ayudaleyprotecciondatos.es\/2021\/10\/14\/zerologon\/#breadcrumbitem","name":"Zerologon. Una vulnerabilidad de Windows Server muy peligrosa"}}]}]