[24/09/2020] Microsoft publicó recientemente un parche (CVE-2020-1472) para solucionar un problema de software en el Microsoft Windows Netlogon Remote Protocol (MS-NRPC). Como se señaló en un blog de Secura, un atacante no autenticado con acceso de red a un controlador de dominio podría explotar esta vulnerabilidad, llamada Zerologon, para comprometer todos los servicios de identidad de Directorio Activo (AD). Un atacante no necesita credenciales para obtener privilegios en la red, solo acceso al dominio. Instale esta actualización en sus controladores de dominio lo antes posible, si no lo ha hecho ya.
El Netlogon Remote Protocol es una interfaz de llamada de procedimiento remoto (RPC) disponible en los controladores de dominio de Windows. Se utiliza para facilitar a los usuarios el acceso a los servidores utilizando el protocolo NTLM. Como Secura señala en su whitepaper, "Simplemente enviando un número de mensajes de Netlogon en los que varios campos se rellenan con ceros, un atacante puede cambiar la contraseña de la computadora del controlador de dominio que está almacenado en el AD. Esto puede ser usado para obtener las credenciales del administrador del dominio, y luego restaurar la contraseña original del DC. Este ataque tiene un gran impacto: básicamente permite a cualquier atacante de la red local (como un infiltrado malintencionado o alguien que simplemente conectó un dispositivo a un puerto de red local) comprometer completamente el dominio de Windows".
La US Cybersecurity and Infrastructure Security Agency (CISA) advierte que el código de explotación de esta vulnerabilidad ha sido liberado a la web, y anticipa que los ataques ocurrirán en breve (si no lo han hecho ya).
Aunque Microsoft ha parcheado el CVE-2020-1472, es necesario realizar pasos adicionales para estar completamente protegido, especialmente cuando se interactúa con plataformas que no son de Microsoft. Si ha instalado las actualizaciones de seguridad del 11 de agosto (o más tarde) en los controladores de sus dominios, eso es todo lo que necesita hacer por ahora, pero hay más por hacer. Si instala el parche en los dispositivos de Windows, estará protegido si tiene una red que incluye solo dispositivos compatibles de Windows. Los dispositivos ajenos a Microsoft que no sean compatibles con esta configuración expondrán su dominio a ataques, y por eso Microsoft aplicará el uso seguro de RPC para las cuentas en dispositivos que no sean de Windows en febrero del 2021.
Como Microsoft señala en su documentación, la fase dos comienza con las actualizaciones del 9 de febrero del 2021, en las que se habilitará el modo de aplicación en todos los controladores de dominio de Windows, independientemente de la configuración del registro o de la directiva de grupo. Los controladores de dominio denegarán las conexiones vulnerables de todos los dispositivos no compatibles, a menos que se añadan al "Controlador de dominio": Permitir conexiones vulnerables de canal seguro de Netlogon".
Detalles del parche de agosto de Netlogon
La actual versión de la fase uno de este agosto refuerza el uso seguro de la RPC para:
- Cuentas de máquinas en dispositivos basados en Windows
- Cuentas confiables
- Todos los DC con y sin Windows
También incluye una nueva política de grupo para permitir cuentas de dispositivos que utilicen conexiones de canal seguro vulnerables de Netlogon. Incluso cuando los DCs se ejecuten en modo de ejecución o después de que comience la fase de ejecución, no se rechazará la conexión de los dispositivos permitidos.
Una nueva clave de registro de FullSecureChannelProtection permite el modo de aplicación DC para todas las cuentas de máquinas. También añade nuevos eventos para las cuentas que son negadas o que serían negadas en el modo de aplicación DC (y continuará en la fase de aplicación). Los ID de eventos específicos se explican más adelante.
Los parches realizan cambios en el protocolo de Netlogon para proteger los dispositivos de Windows de forma predeterminada, registran eventos para el descubrimiento de dispositivos no compatibles, y añaden la capacidad de habilitar la protección para todos los dispositivos unidos al dominio con excepciones explícitas.
Después de aplicar el parche, revise los registros de eventos del controlador de dominio
Una vez que haya instalado las actualizaciones de agosto del 2020 (o posteriores), revise los registros de eventos en el controlador de dominio para los siguientes eventos en el registro de eventos del sistema:
- Registre los ID de eventos 5827 y 5828 si las conexiones son denegadas
- Registre los ID de eventos 5830 y 5831 si las conexiones son permitidas por el "Controlador de dominio": Permitir conexiones de canal seguro vulnerables de Netlogon" política del grupo
- Registre el evento ID 5829 siempre que se permita una conexión segura vulnerable de Netlogon.
Estos eventos deben ser tratados antes de que se configure el modo de aplicación DC o antes de que la fase de aplicación comience el 9 de febrero del 2021. Puede utilizar un script para revisar sus registros de eventos para comprobar el impacto. Exporte los registros de eventos al formato .evtx.
Después de instalar las actualizaciones en los controladores de su dominio, revise los registros de eventos de Netlogon que apuntan a dispositivos o conexiones que no se están conectando de forma segura. Revise los registros para prepararse para cuando la actualización entre en modo de aplicación.
Prepárase ahora para el parche de Netlogon de febrero
Se recomienda no esperar a esta aplicación, sino probar y determinar si se verá más afectado por este cambio en el protocolo de Netlogon, haciendo cambios en la política de grupo de su controlador de dominio ahora en lugar de más tarde.
La configuración relativa a la encriptación y firma de datos de canal seguro (siempre) se habilitará y aplicará en febrero del 2021. Este ajuste no está activado actualmente.
Alternativamente, puede habilitar la clave de registro de FullSecureChannelProtection para habilitar el modo de aplicación de DC para todas las cuentas de máquinas. (La fase de aplicación actualizará los DC al modo de aplicación DC).
HKEY_LOCAL_MACHINE_SYSTEM_CurrentControlSet_Services_Netlogon_Parameters_FullSecureChannelProtection
REG_DWORD
Ajustando el valor a "1" se activa el modo de ejecución. Poner el valor en "0" significa que los controladores de dominio permitirán conexiones de canal seguro vulnerables de Netlogon desde dispositivos que no sean Windows. Esta opción será desaprobada en la liberación de la fase de ejecución.
La actualización de agosto añade una política de grupo a sus controladores de dominio parcheados para permitir excepciones a la política de comunicación segura RPC. Si tiene algún sistema que no cumple con las normas y que no se comunica después de la aplicación de la ley en febrero, puede incluir estas transmisiones en una lista blanca, y aceptar el riesgo o trabajar con sus proveedores para actualizar y solucionar el problema. Tómese el tiempo necesario entre ahora y febrero para determinar el impacto en su organización.
Agregue estas excepciones a esta nueva política de grupo, "Controlador de dominio": Permitir conexiones de canal seguro vulnerables de Netlogon". Añádalas a la unidad organizativa (OU) del controlador de dominio. La política del grupo debería enumerar los descriptores de seguridad de aquellas cuentas que necesitan que se hagan exclusiones.
Esta política es compatible con al menos Windows Server 2008 R2. Puede determinar el descriptor de seguridad introduciendo el comando sc sdset <ServiceName> <ServiceSecurityDescriptor>.
Si usted simplemente parchea ahora y no da el siguiente paso de aplicación, todos los exploits de prueba de concepto no funcionarán en las máquinas parcheadas. El riesgo restante surge de los dispositivos de terceros para los que no se aplica la seguridad MS-NRPC. Un atacante aún podría restablecer la contraseña informática de estos dispositivos tal y como está almacenada en AD, lo cual negaría el servicio al desconectar efectivamente esos dispositivos del dominio. Esto también podría permitir ataques de tipo "hombre en el medio" similares a los de CVE-2019-1424, en los que un atacante podría obtener acceso de la administración local a estos dispositivos en particular.
¿Qué debería hacer inmediatamente? Instalar las actualizaciones de agosto en los controladores de su dominio. Luego busque en sus registros de eventos señales de que tiene sistemas heredados que causarán problemas en febrero. Comience la investigación ahora para que no le sorprenda el impacto de la aplicación obligatoria de febrero.
Susan Bradley, CSO (EE.UU.)