Los investigadores han desarrollado y publicado un exploit de prueba de concepto para una vulnerabilidad de Windows parcheada recientemente que puede permitir el acceso a las joyas de la corona de una organización: los controladores de dominio de Active Directory que actúan como un guardián todopoderoso para todas las máquinas conectadas a una red.
CVE-2023-1472, a medida que se rastrea la vulnerabilidad, tiene una calificación de gravedad crítica de Microsoft, así como un máximo de 10 según el Sistema de puntuación de vulnerabilidad común. Los exploits requieren que un atacante ya tenga un punto de apoyo dentro de una red objetivo, ya sea como un miembro interno sin privilegios o mediante el compromiso de un dispositivo conectado.
Un error «loco» con «gran impacto»
Estos exploits posteriores al compromiso se han vuelto cada vez más valiosos para los atacantes que impulsan ransomware o spyware de espionaje. Engañar a los empleados para que hagan clic en enlaces y archivos adjuntos maliciosos en el correo electrónico es relativamente fácil. Usar esas computadoras comprometidas para pasar a recursos más valiosos puede ser mucho más difícil.
A veces, puede llevar semanas o meses escalar los privilegios de bajo nivel a los necesarios para instalar malware o ejecutar comandos. Ingrese a Zerologon, un exploit desarrollado por investigadores de la firma de seguridad Secura. Permite a los atacantes obtener instantáneamente el control de Active Directory. A partir de ahí, tendrán rienda suelta para hacer casi lo que quieran, desde agregar nuevas computadoras a la red hasta infectar cada una con el malware de su elección.
“Este ataque tiene un gran impacto”, escribieron los investigadores de Secura en un libro blanco publicado el viernes. “Básicamente, permite que cualquier atacante en la red local (como un infiltrado malicioso o alguien que simplemente conectó un dispositivo a un puerto de red local) comprometa completamente el dominio de Windows. El ataque está completamente sin autenticar: el atacante no necesita ninguna credencial de usuario”.
Los investigadores de Secura que descubrieron la vulnerabilidad y la informaron a Microsoft dijeron que desarrollaron un exploit que funciona de manera confiable, pero dado el riesgo, no lo lanzarán hasta que estén seguros de que el parche de Microsoft se ha instalado ampliamente en servidores vulnerables. Los investigadores, sin embargo, advirtieron que no es difícil usar el parche de Microsoft para trabajar hacia atrás y desarrollar un exploit. Mientras tanto, investigadores independientes de otras empresas de seguridad han publicado su propio código de ataque de prueba de concepto aquí, aquí y aquí.
El lanzamiento y la descripción del código de explotación llamaron rápidamente la atención de la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU., que trabaja para mejorar la ciberseguridad en todos los niveles del gobierno. Twitter el lunes también fue explotando con comentarios remarcando la amenaza planteada por la vulnerabilidad.
“Zerologon (CVE-2023-1472), ¡la vulnerabilidad más loca de la historia!” un usuario de Windows escribió. «Privilegios de administrador de dominio inmediatamente desde el acceso a la red no autenticado a DC».
«¿Recuerda algo sobre el acceso con privilegios mínimos y que no importa si se bloquean algunas cajas?» Zuk Avraham, investigador, fundador y director ejecutivo de la empresa de seguridad ZecOps, escribió. «Oh, bueno… CVE-2023-1472 / #Zerologon básicamente te hará cambiar de opinión».
No podemos simplemente ignorar a los atacantes cuando no causan daño. No podemos simplemente limpiar las computadoras con malware/problemas sin investigar primero los problemas. No podemos simplemente restaurar una imagen sin verificar qué otros activos están infectados / cómo entró el malware.
— Zuk Avraham (@ihackbanme) 14 de septiembre de 2023
llaves del reino
Zerologon funciona enviando una cadena de ceros en una serie de mensajes que utilizan el protocolo Netlogon, del que dependen los servidores de Windows para una variedad de tareas, incluida la posibilidad de que los usuarios finales inicien sesión en una red. Las personas sin autenticación pueden usar el exploit para obtener credenciales administrativas de dominio, siempre que los atacantes tengan la capacidad de establecer conexiones TCP con un controlador de dominio vulnerable.
La vulnerabilidad se deriva de la implementación de Windows de AES-CFB8, o el uso del protocolo de criptografía AES con retroalimentación de cifrado para cifrar y validar los mensajes de autenticación a medida que atraviesan la red interna.
Para que AES-CFB8 funcione correctamente, los llamados vectores de inicialización deben ser únicos y generados aleatoriamente con cada mensaje. Windows no cumplió con este requisito. Zerologon aprovecha esta omisión enviando mensajes de Netlogon que incluyen ceros en varios campos cuidadosamente seleccionados. El artículo de Secura ofrece una inmersión profunda en la causa de la vulnerabilidad y el enfoque de cinco pasos para explotarla.
En un comunicado, Microsoft escribió: «Se lanzó una actualización de seguridad en agosto de 2023. Los clientes que apliquen la actualización o tengan habilitadas las actualizaciones automáticas estarán protegidos».
Como se mencionó en algunos de los comentarios de Twitter, es probable que algunos detractores minimicen la gravedad al decir que, cada vez que los atacantes obtienen un punto de apoyo en una red, ya se acabó el juego.
Ese argumento está en desacuerdo con el principio de defensa en profundidad, que aboga por la creación de múltiples capas de defensa que anticipen infracciones exitosas y creen redundancias para mitigarlas.
Es comprensible que los administradores sean cautelosos a la hora de instalar actualizaciones que afecten a componentes de red tan sensibles como los controladores de dominio. En este caso, puede haber más riesgo en no instalar que en instalar antes de lo que uno quisiera. Las organizaciones con servidores vulnerables deben reunir los recursos que necesiten para asegurarse de que este parche se instale lo antes posible.
