CVE-2020-1472
Actualización
Se han hecho públicos los detalles de explotación de esta vulnerabilidad que afecta de forma directa a los controladores de dominio (DC) del Directorio Activo (AD). Debido a un error en la implementación criptográfica del protocolo Netlogon, específicamente en el uso del cifrado AES-CFB8, es posible establecer una nueva contraseña en el DC. Tras ello, un atacante podría utilizar esa nueva contraseña para tomar el control completo del DC y usurpar las credenciales de un usuario administrador del dominio.
Además, ya se han hecho públicas diversas pruebas de concepto que muestran cómo explotar el fallo en servidores DC vulnerables:
- https://github.com/blackarrowsec/redteam-research/tree/master/CVE-2020-1472
- https://github.com/dirkjanm/CVE-2020-1472/blob/master/cve-2020-1472-exploit.py
- https://github.com/bb00/zer0dump
- https://github.com/risksense/zerologon/
Descripción
Debido a un uso incorrecto en la implementación del algoritmo de cifrado AES, es posible obtener el control del DC y establecer una contraseña vacía en el dominio. El pasado mes de agosto Microsoft lanzó las correspondientes actualizaciones para corregir esta vulnerabilidad, la cual ha sido denominado “Zerologon” debido a la ausencia total de autenticación a la hora de explotarla.
La vulnerabilidad reside en el Netlogon Remote Protocol, el cual es gestionado a través de una interfaz RPC (Remote Procedure Call), disponible en los controladores de dominio de Windows. Este protocolo se utiliza para diversas tareas relacionadas con la autenticación de usuarios y máquinas, más comúnmente para facilitar que los usuarios inicien sesión en servidores utilizando el protocolo NTLM. Netlogon utiliza un protocolo criptográfico personalizado para permitir que un cliente, es decir, un equipo unido a un dominio, y un servidor, es decir, el controlador de dominio certifiquen entre sí que ambos conocen un secreto compartido, el cual es un hash de la contraseña de la cuenta del equipo del cliente.
En concreto, la vulnerabilidad se ubica en la criptografía utilizada para el protocolo de enlace de autenticación inicial, ya que existe una omisión de autenticación general severa, que podría ser explotada por un atacante simplemente estableciendo conexiones TCP con un controlador de dominio vulnerable, para lo que bastaría con tener acceso a la red, pero sin requerir ninguna credencial de dominio. Una explotación exitosa de la vulnerabilidad otorgaría al atacante privilegios de administrador de dominio e incluso la posibilidad de comprometer por completo el DC.
Impacto
| Vector de Ataque | Complejidad | Autenticación | Impacto | ||
|---|---|---|---|---|---|
| Confidencialidad | Integridad | Disponibilidad | |||
| Red | Baja | No requiere | Alto | Alto | Alto |
Recursos afectados
El CVE-2020-1472 ya fue abordado por Microsoft en su boletín de seguridad del pasado mes de agosto. En su aviso de seguridad del 11/08/2020, el fabricante confirmó los siguientes productos afectados por esta vulnerabilidad:
- Windows Server 2008 R2 for x64-based Systems Service Pack 1
- Windows Server 2008 R2 for x64-based Systems Service Pack 1
- Windows Server 2012
- Windows Server 2012 (Server Core installation)
- Windows Server 2012 R2
- Windows Server 2012 R2 (Server Core installation)
- Windows Server 2016
- Windows Server 2016 (Server Core installation)
- Windows Server 2019
- Windows Server 2019 (Server Core installation)
- Windows Server, version 1903 (Server Core installation)
- Windows Server, version 1909 (Server Core installation)
- Windows Server, version 2004 (Server Core installation)
Solución
Actualizar todos los controladores de dominio del Directorio Activo a través del enlace, dentro de la sección “Security Updates”.
Referencias
PoC | BlackArrow CVE-2020-1472
PoC | Dirk-jan CVE-2020-1472
PoC | Elias Griffith zer0dump
PoC | RiskSense zerologon
Security Advisory | CVE-2020-1472
