logo vunkers
logo vunkers

Blog

Zerologon, vulnerabilidad para los controladores de dominio de Windows Server

Publicado el día

Solución a vulnerabilidad crítica para los controladores de dominio de Windows

Zerologon: La nueva vulnerabilidad crítica que afecta a los controladores de dominio de Windows Server, no se soluciona solamente actualizando.

Parece que está siendo un mal año para Redmon. Hace un par de meses un equipo de seguridad reporto a Microsoft una vulnerabilidad explotable en su sistema Netlogon CVE-2020-1472, que permita una escalada de privilegios. Actualmente este sistema se utiliza para la comunicación de todos los clientes (Windows u Otros dispositivos) con controladores de Dominio de Windows en todas sus versiones.

Esta vez, la vulnerabilidad afecta intrínsecamente al protocolo de Netlogon. Esto significa que no es posible actualizable sin modificar el comportamiento del servicio Netlogon.

Lo que Microsoft ha hecho es separar esta actualización en 2 fases:


Fase 1: Fase de implementación inicial

Esta fase se inició con una actualización el 11 de agosto, que entre otras cosas realiza:

  • Forzar la implementación segura de Netlogon en equipos clientes que la soporten
  • Registrar en el log de sistema con evento ID 5829, las conexiones que aún conectan con el protocolo antiguo

Durante esta fase es preciso auditar el servidor, con la ayuda del evento 5829, para eliminar todas las conexiones que usan el protocolo Netlogon antiguo, hasta que el visor de eventos este limpio de dicho evento.

Fase 2: Fase de exigencia

Esta fase se lanza el 9 de febrero de 2021. Y consiste en deshabilitar el servicio Netlogon antiguo, exigiendo únicamente la nueva implementación de Protocolo. En caso de no ser posible se deberá exigir, vía directiva de grupo, “Permitir conexiones de canales seguros de Netlogon vulnerables”.


Esta explotación requiere acceso previo con usuario de privilegios limitados en la infraestructura, con lo que a priori dificulta un ataque masivo desde el exterior, pero a la vez y sobretodo en infraestructuras grandes, supone un gran trabajo para los departamentos de IT y seguridad.

Los clientes que tienen contrato de mantenimiento de sistemas de Vunkers IT Experts, ya tienen aplicadas las actualizaciones. Además, monitorizamos los accesos Netlogon vulnerables, para que no tengan que preocuparse en el lanzamiento de la fase 2.

Vunkers IT Experts, expertos en seguridad de sistemas.