Zerologon: Vulnerabilidad Crítica de NetLogon

ANÁLISIS

La vulnerabilidad, que fue catalogada como CVE-2020-1472 (Zerologon) [1] y tiene una puntuación CVSS3 de 10, está siendo actualmente explotada de forma activa. El componente afectado, NetLogon es utilizado por los servidores Windows dentro de un controlador de dominio para autenticar usuarios y máquinas.

Una vez el atacante establece un canal seguro vulnerable con el controlador de dominio, esta vulnerabilidad le permitiría ganar acceso completo a dicho controlador.

Se han publicado múltiples Pruebas de Concepto para explotar con éxito la vulnerabilidad. [2][3][4][5]

Las versiones afectadas son las siguientes:

·Windows Server 2008 R2 for x64-based Systems Service Pack 1
·Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
·Windows Server 2012
·Windows Server 2012 (Server Core installation)
·Windows Server 2012 R2
·Windows Server 2012 R2 (Server Core installation)
·Windows Server 2016
·Windows Server 2016 (Server Core installation)
·Windows Server 2019
·Windows Server 2019 (Server Core installation)
·Windows Server, version 1903 (Server Core installation)
·Windows Server, version 1909 (Server Core installation)
·Windows Server, version 2004 (Server Core installation)

El fabricante ya ha publicado un parche para solventar la vulnerabilidad [6]

RECOMENDACIONES 

Se recomienda aplicar la solución publicada por el proveedor, actualizando a la versión más reciente que solvente la vulnerabilidad [6] 

REFERENCIAS

[1] https://nvd.nist.gov/vuln/detail/CVE-2020-1472
[2] https://github.com/dirkjanm/CVE-2020-1472
[3] https://github.com/blackarrowsec/redteam-research/blob/master/CVE-2020-1472/CVE-2020-1472.py
[4] https://github.com/bb00/zer0dump
[5] https://github.com/risksense/zerologon
[6] https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1472