– Se ha lanzado un exploit de código de prueba en el sistema operativo Windows, que permite a los piratas informáticos infiltrarse en los servidores corporativos para obtener derechos de administrador y acceso a los controladores de dominio de Active Directory. Para que los piratas informáticos puedan ingresar al servidor que se utiliza para autenticar y verificar a los usuarios en la red.
Esta vulnerabilidad de seguridad más tarde se denominó “Zerologon”, una falla en la concesión de acceso con una puntuación de riesgo de 10 sobre 10, lo que la convierte en la vulnerabilidad de mayor riesgo. En realidad, este problema técnico fue informado por Microsoft en agosto pasado.
Sin embargo, en los últimos dÃas han aparecido cuatro códigos de explotación de Zerologon que se han distribuido de forma gratuita en Github. Esto fue descubierto por un investigador que también fue el primero en descubrir la vulnerabilidad, y luego explicó en detalle cómo funcionaba el exploit.
“Los ataques que utilizan el exploit Zerologon pueden tener un impacto muy grande y grave. A grandes rasgos, la técnica consiste en hacer que los hackers que entren en la red local (pudieran pasar por algún tipo de malware) tengan el control total. Y estos piratas informáticos no necesitan ningún tipo de autenticación”, dijo el investigador.
Además, la laguna de piraterÃa supuestamente se deriva del protocolo remoto Netlogon en el controlador de dominio de Windows, que se utiliza como medio para autenticar una serie de sistemas y aplicaciones en dispositivos Windows.
SÃ, puedo confirmar que este exploit público para Zerologon (CVE-2020-1472) funciona. Cualquiera que no haya instalado el parche del martes de parches de agosto ya estará en una forma mucho peor de lo que ya estaba.
– Will Dormann (@wdormann) 14 de septiembre de 2020
En la implementación en el campo, los piratas informáticos pueden aprovechar esta laguna al enviar una serie de números cuando aparece la pantalla Netlogon y luego llenarla con números en blanco, para que escapen al proceso de autenticación. Además, pueden acceder y modificar los datos de inicio de sesión almacenados en Active Directory.
Por supuesto, para poder llevar a cabo este ataque, el hacker debe estar en la misma red que el servidor de destino, lo que significa que también necesita acceso a la red local.
Dado que los cuatro tipos de código de explotación se comparten públicamente a través de Github, varios expertos en seguridad cibernética, asà como el gobierno de los EE. UU., aconsejan a todos los administradores de servidores que actualicen sus actualizaciones de Windows al menos a la actualización de agosto. La actualización contiene correcciones para el exploit malicioso Zerologon.
