Zerologon permite obtener contraseña de controlador de dominio, sin autenticación

Se ha descubierto recientemente un exploit (Zerologon) para sistemas Windows Server, que permite a cualquier tercero con cierto grado de acceso a nuestra red, convertirse inmediatamente en Domain Admin. Esto reviste una gravedad extrema.

Los responsables del hallazgo han publicado una POC o Prueba de Concepto del exploit, ejecutado sobre un sistema Windows con los parches «al día». La CVE-2020-1472 tiene un CVSS de 10 (el máximo posible) mientras Microsoft lo considera un fallo crítico, y está justificado, ya que el controlador de dominio de un Directorio Activo posee plenos poderes.

Un Controlador de Dominio en Active Directory puede crear objetos como usuarios, equipos o grupos, puede modificar valores de resolución DNS, modificar políticas de seguridad, etcétera. El impacto potencial es enorme.

Los exploit necesitan que el atacante ya tenga un pie dentro de la red, pero al mismo tiempo, pueden ser descenadenados por un usuario sin privilegios, o bien por un usuario interno (insider threat) que sea engañado.

Zerologon, un fallo de diseño que puede tener consecuencias

Se ha publicado un whitepaper donde los descubridores (Secura) definen que:

Este ataque tiene un impacto enorme. Básicamente permite a cualquier atacante en la red local (como un insider malicioso o alguien que, simplemente, ha conectado un dispositivo a un puerto de red local) comprometer un dominio de Windows. El ataque se hace sin ninguna autenticación: el atacante no precisa de usar ninguna credencial.

Secura

Este tipo de ataques post-compromiso se tornan muy valiosos para los hackers actuales, sobre todo si quieren realizar espionaje o plantar ransomware. Normalmente el punto más difícil para ellos es moverse lateralmente desde el primer equipo comprometido (Tom, que abrió un correo que no debía). Con exploits como este, se consigue el trabajo de semanas (cuando es posible) en minutos.

Sistemas afectados:

• Windows Server 2008 R2 for x64-based Systems Service Pack 1
• Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
• Windows Server 2012
• Windows Server 2012 (Server Core installation)
• Windows Server 2012 R2
• Windows Server 2012 R2 (Server Core installation)
• Windows Server 2016
• Windows Server 2016 (Server Core installation)
• Windows Server 2019
• Windows Server 2019 (Server Core installation)
• Windows Server, version 1903 (Server Core installation)
• Windows Server, version 1909 (Server Core installation)
• Windows Server, version 2004 (Server Core installation)

¿Cómo funciona el exploit?

Según informan en Ars Technica, Zerologon funciona enviando una cadena de ceros en una serie de mensajes que utilizan el protocolo Netlogon, un mecanismo de autenticación que verifica solicitudes de inicio de sesión y registra, autentica y localiza Controladores de Dominio.

La vulnerabilidad está en la implementación del mecanismo de cifrado AES-CFB8 en Windows, así como el uso de criptografía AES con cipher feeback para cifrar y validar mensajes de autenticación en se transmiten en red.

Para que funcione AES-CFB8 correctamente, los vectores de inicialización deben ser únicos y aleatoriamente generados con cada mensaje. Windows ha fallado al contemplar el requisito, Zerologon explota esta carencia enviando mensajes tipo Netlogon que incluyen zeros en diversos campos escogidos deliberadamente.

Existen otros exploit desarrollados por terceros:

• Risksense
• BlackArrow
• BB00

Respuesta de Microsoft y mitigación

Secura reportaron el fallo a Microsoft asegurarono que no publicarán a publicar dicho exploit hasta que el gigante de los sistemas no haya lanzado un parche, y que dicho parche haya tenido tiempo de ser mayoritariamente adoptado por la industria.

Afortunadamente, Microsoft ha confirmado una solución:

Una actualización de seguridad ha sido publicada en Agosto de 2020. Los clientes que apliquen la actualización, o tengan Actualizaciones Automáticas activas, están ya protegidos.

Microsoft

Los expertos también avisan de que el proceso de parcheo tiene sus propios inconvenientes, dado que no es muy complejo para un atacante con recursos realizar ingeniería inversa (reversing) del parche, para saber dónde estaba la vulnerabilidad, modificando los parámetros operativos.

Los sysadmin tienen normalmente precaución al instalar nuevos parches de Microsoft en producción (tiene toda la lógica) sin embargo esta podría ser una de esas excepciones en que el no tener el parche es mucho peor que tenerlo, sea como fuere.

Fuentes: CCN-CERT, Secura, Ars Technica