Ayer se publico la vulnerabilidad CVE-2020-1472, una vulnerabilidad de escalada de privilegios en el proceso de autenticación Netlogon de Microsoft, el cual los autores de la detección la bautizaron como "Zerologon".
Al falsificar un token de autenticación para una funcionalidad específica de Netlogon, se puede llamar a una función para establecer una contraseña del servidor del controlador de dominio. Después de eso, un atacante puede usar esta nueva contraseña para tomar el control del controlador de dominio y robar las credenciales de un administrador de dominio. Esta falla permite a los atacantes que estén en la misma red hacerse pasar por cualquier computadora, incluido el controlador de dominio, y ejecutar llamadas a procedimientos remotos en su nombre.
Parchea ya!
Desde Guayoyo.io instamos a los administradores de sistemas windows que apliquen el parche lo mas rápido posible. Es una vulnerabilidad muy critica, con exploits públicos.
Como saber si soy vulnerable
Con este script en Python, desarrollado por los investigadores que dieron con la vulnerabilidad, puedes verificar si eres o no vulnerable.
Requiere Python 3.7 o superior y Pip. Instale las dependencias de la siguiente manera:
pip install -r requirements.txt
./zerologon_tester.py EXAMPLE-DC 192.168.1.2
El nombre de DC debe ser el nombre de su equipo NetBIOS. Si este nombre no es correcto, es probable que el script falle con un STATUS_INVALID_COMPUTER_NAMEerror.
Con HowlerMonkey podrás crear alertas para estar enterado de vulnerabilidades similares que afecten a tus tecnologías, ademas seguir su evolución.
Productos afectados
Windows Server 2008 R2 para sistemas basados en x64 Service Pack 1
Windows Server 2008 R2 para sistemas basados en x64 Service Pack 1 (instalación Server Core)
Windows Server 2012
Windows Server 2012 (instalación Server Core)
Windows Server 2012 R2
Windows Server 2012 R2 (instalación Server Core)
Windows Server 2016
Windows Server 2016 (instalación Server Core)
Windows Server 2019
Windows Server 2019 (instalación Server Core)
Windows Server, versión 1903 (instalación Server Core)
Windows Server, versión 1909 (instalación Server Core)
Windows Server, versión 2004 (instalación Server Core)