Reportan vulnerabilidad crítica en Windows Server.... Zerologon

Toma aproximadamente tres segundos explotar la vulnerabilidad, que puede causar estragos en la red afectada.

La Agencia de Seguridad Cibernética e Infraestructura de los Estados Unidos (CISA) ha emitido una https://www.cisa.gov/blog/2020/09/18/windows-server-vulnerability-requires-immediate-attention dirigida a todas las agencias gubernamentales en relación con una vulnerabilidad de máxima severidad en los servidores Windows.

La vulnerabilidad, denominada https://www.secura.com/blog/zero-logon, habría sido detectada por la empresa de seguridad cibernética Secura, que le ha asignado rango “crítico”. Zerologon se encuentra en los servidores Windows que ejecutan Windows Server 2008 R2 y más recientes, incluyendo versiones de servidores que funcionan con Windows 10.

Los investigadores de Secura afirman que toma aproximadamente tres segundos explotar la vulnerabilidad y que los atacantes exitosos podrían causar estragos en la red afectada. El fallo reside en el Netlogon Remote Protocol, y permite a los actores maliciosos “comprometer completamente” los servicios de Active Directory.

Aunque la advertencia de la CISA estaba dirigida a las instituciones gubernamentales, la entidad recalca que las empresas privadas también dependen de los servidores de Windows y de Active Directory y, por lo tanto, también corren el riesgo de ser atacadas.

Las organizaciones que temen que su infraestructura pueda verse afectada por la falla son aconsejadas, según el comunicado de CISA, a “aplicar la actualización de seguridad de agosto de 2020 (CVE-2020-1472) para los servidores Windows de Microsoft a todos los controladores de dominio”.

https://diarioti.com/reportan-vulnerabilidad-critica-en-windows-server/113938

Más información actualizada de Zerologon y su solución

Ataques a Windows Server por la vulnerabilidad Zerologon

Como sabemos, este fallo de seguridad afecta a los usuarios de Windows Server. La vulnerabilidad fue denominada Zerologon por la empresa de ciberseguridad Secura. En caso de ser explotada por un atacante podrían obtener privilegios de administrador sobre un dominio y tener el control total.

Durante esta madrugada Microsoft ha lanzado una serie de tuits en los que alertan de que este fallo está siendo explotado. Indican que se están utilizando activamente ataques e instan a que los administradores instalen los parches de inmediato.

Por suerte esta vulnerabilidad ya tiene corrección. El problema, como suele ocurrir en estos casos, es que muchos usuarios siguen sin actualizar los equipos y por tanto están expuestos a sufrir problemas de este tipo.

https://twitter.com/MsftSecIntel/status/1308941504707063808

Microsoft asegura que está rastreando activamente la actividad de los piratas informáticos utilizando exploits para la vulnerabilidad CVE-2020-1472 Netlogon EoP, denominada Zerologon. Indican que han observado ataques en los que se han incorporado exploits públicos.

Muestran tres ejemplos que según la compañía se han estado utilizando para llevar a cabo ataques con el objetivo de explotar la vulnerabilidad Zerologon que permite, como hemos visto, obtener privilegios elevados.

Estos ejemplos son ejecutables .NET que tienen el nombre de archivo SharpZeroLogon.exe. Sin embargo, al menos por el momento, desde Microsoft no comparten más detalles sobre estos ataques.

La solución al problema, disponible

Ya hemos mencionado que la solución a este problema está disponible. Los usuarios pueden actualizar sus equipos y corregir esta vulnerabilidad. Para ello desde Microsoft instan a que todos los administradores de Windows Server instalen la actualización de seguridad para CVE-2020-1472.