Si alguna vez hubo un momento para reexaminar la seguridad de su Active Directory, es ahora.
En respuesta a la creciente preocupación por la notoria vulnerabilidad Zerologon (CVE-2020-1472), la Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA) de EE.UU. ha emitido una "Directiva de Emergencia" para que los organismos federales apliquen inmediatamente el parche de Microsoft. Las empresas harían bien en seguir su ejemplo.
"Zerologon" grave vulnerabilidad de escalada de privilegios
En la última semana, ha aparecido en Internet un código de explotación para la grave vulnerabilidad de escalada de privilegios denominada "Zerologon". La vulnerabilidad reside en el protocolo remoto Netlogon. Al enviar una serie de mensajes Netlogon con varios campos rellenados con ceros, el atacante puede cambiar la contraseña del controlador de dominio (DC) almacenado en AD. En efecto, el ataque permite a cualquier actor de amenaza en la red local elevar sus privilegios y comprometer el dominio de Windows sin ninguna credencial de usuario. Con Zerologon, los atacantes pueden robar las credenciales de administrador del dominio y restaurar la contraseña original del controlador de dominio, facilitando todo tipo de ataques, desde ransomware hasta robo de datos.
Descubierto por investigadores de Secura, el fallo tiene una puntuación CVSS de 10 sobre 10, la más grave. Ya se han publicado varias pruebas de concepto de Zerologon. Zerologon también se ha puesto en funcionamiento en una versión actualizada de la herramienta Mimikatz.
¿Ya has parcheado?
Con los exploits circulando, la presión está en parchear lo antes posible. Este problema se aborda en dos partes. En agosto, Microsoft publicó una actualización de seguridad que cambia el protocolo Netlogon para proteger los dispositivos Windows por defecto, registrar los eventos de detección de dispositivos no conformes y activar la protección de todos los dispositivos unidos a un dominio con excepciones explícitas. Una segunda actualización está prevista para el primer trimestre de 2021. Impondrá el uso seguro de llamadas a procedimientos remotos (RPC) para cuentas de máquinas en sistemas no basados en Windows, a menos que lo permita el "Controlador de dominio": Permitir conexiones de canal seguro Netlogon vulnerables".
Cabe señalar que después de desplegar la actualización de agosto, los DC parcheados registrarán el ID de evento 5829 en el registro de eventos del sistema siempre que se permita una conexión de canal seguro Netlogon vulnerable. Microsoft aconseja a las organizaciones que solucionen estos eventos antes de que se configure el modo de aplicación del DC o antes de la actualización en 2021 para evitar interrupciones. También es crucial que se actualicen todos los DC, incluso los controladores de dominio de sólo lectura. El proceso de aplicación de parches no siempre es fácil, a menudo plagado de retrasos debido al gran número de aplicaciones y sistemas en los entornos de TI y el temor general a interrumpir las operaciones. Aún así, cualquier organización que utilice Active Directory debería empezar a identificar los sistemas vulnerables y priorizar la aplicación de parches.
Prepárese para una afluencia de nuevos ataques dirigidos a Active Directory
Después de aplicar rigurosos parches, es hora de reconocer la afluencia de nuevos ataques que aprovechan Active Directory. Comprenda sus puntos débiles y céntrese en reforzar AD. Las evaluaciones de vulnerabilidades y configuraciones son vitales para subir el listón de los atacantes que atacan AD. Del mismo modo, la supervisión continua de los cambios de AD que eluden los registros de seguridad y la activación de la reversión autónoma de modificaciones sospechosas que son demasiado arriesgadas para esperar la intervención humana detendrán el movimiento lateral y las amenazas persistentes avanzadas. La supervisión automatizada, la evaluación de vulnerabilidades y la corrección son elementos vitales para mantener la seguridad de su entorno de AD.
En caso de desastre cibernético, realizar copias de seguridad periódicas y almacenarlas fuera de línea marcará la diferencia entre una breve interrupción y un tiempo de inactividad prolongado si la AD se ve comprometida. De lo contrario, las copias de seguridad accesibles a través de la red pueden destruirse fácilmente y aumentar las posibilidades de pago por parte de la víctima. Las organizaciones siempre deben tener suficientes copias de seguridad para realizar una recuperación forestal completa. Por último, evite las restauraciones "bare-metal" y de estado del sistema cuando se recupere de un ciberataque, ya que estos enfoques conllevan graves problemas subyacentes, incluida la posibilidad probable de reinfección por malware.
Como demuestra Zerologon, es hora de que las organizaciones examinen detenidamente la postura de seguridad de Active Directory. Un atacante motivado siempre encontrará la manera de entrar de una forma u otra. No permita que AD sea un blanco fácil.