ZeroLogon: parchear no es suficiente

Directrices y herramientas para proteger su medio ambiente
de CVE-2020-1472

By Yaron Kassner, CTO y cofundador, Silverfort

Secura publicó recientemente un whitepaper sobre una de las peores vulnerabilidades que he visto en mucho tiempo. Se llama ZeroLogon, también conocido como CVE-2020-1472. El DHS también publicó un directiva de emergencia para parchear los servidores Windows afectados. Y no están exagerando: la vulnerabilidad permite a un atacante crear una cuenta de administrador de dominio simplemente enviando paquetes no autenticados a un controlador de dominio. Esto significa que cualquiera en la red puede hacerse cargo de todo el dominio.

Para aquellos interesados ​​en los bits y bytes técnicos, recomiendo encarecidamente leer el documento técnico. El ataque descrito es elegante y aprovecha una vulnerabilidad inherente al protocolo NRPC. Resulta que algunas personas estaban tan interesadas en este ataque que desarrollaron una explotación de trabajo completo y lo publicó en GitHub. Entonces, si aún no has implementado la actualización, deja de leer este artículo y hazlo ahora. Vuelve después de hacerlo.

Como ocurre con la mayoría de las vulnerabilidades, Microsoft publicó un asesor, junto con una actualización de seguridad. Si bien algunos pueden verse tentados a instalar la actualización y olvidarse de ella, el lector atento notará este comentario: "Microsoft está abordando esta vulnerabilidad en una implementación gradual".

Sí, no es algo bueno. Una implementación por fases significa que durante la primera fase de la implementación su sistema aún es vulnerable. En este caso se tuvo que adoptar un enfoque gradual porque la vulnerabilidad es inherente al protocolo NRPC. El parche previene el ataque al aplicar una capa adicional de seguridad además del protocolo: Secure RPC. Desafortunadamente, no basta con actualizar el lado del servidor, es decir, el DC, porque los clientes también deben actualizarse para que el protocolo funcione. Microsoft se encargó de los dispositivos Windows, pero no proporcionó una solución para sistemas operativos heredados que ya no son compatibles ni para productos de terceros. Esto significa que aplicar Secure RPC romperá estos sistemas incompatibles.

Durante la primera fase, AD aplica RPC seguro para dispositivos Windows, lo que significa que se puede prevenir la peor forma de ataque. Pero es posible que otros clientes sigan siendo vulnerables.

Desarrollamos un herramienta simple que itera sobre los controladores de dominio en su dominio y verifica si todos ellos están parcheados. La herramienta se basa en la herramienta de prueba original publicada por Secura, pero en lugar de ejecutarse en un DC a la vez, automáticamente encontrará los DC y se ejecutará en todos. Le recomendamos que ejecute esta herramienta para asegurarse de que no se haya perdido ninguno de los DC de su entorno; un DC sin parches es suficiente para comprometer todo el dominio.

Descargue la herramienta de prueba de Github aquí

Pasando a la fase dos

En la segunda fase, AD aplica RPC seguro para todas las computadoras, incluidos los dispositivos que no son Windows. La segunda fase se realizará automáticamente el 2 de febrero, pero puedes iniciarla antes y te recomendamos que lo hagas. Para hacer eso, primero debe asegurarse de que no tenga ningún cliente en la red que dependa de RPC no seguro. Microsoft proporciona registros de auditoría para descubrir dichos clientes y Silverfort también puede ayudar: puedes aprovechar Silverfort para preparar un informe que enumere los clientes que utilizan RPC no seguro. Si no tienes Silverfort, puede comenzar auditando los registros de eventos de Microsoft.

¿Qué hacer con clientes RPC no seguros?

Aquí está mi recomendación. Primero que nada, póngalos en "Controlador de dominio: Permitir la política de grupo de conexiones de canal seguro de Netlogon vulnerables. Esto no protege a estos clientes, pero le permitirá pasar el resto de los dispositivos al modo de cumplimiento ahora, en lugar de esperar hasta febrero de 2021.

Una vez que haya movido el resto de los dispositivos al modo de cumplimiento, debe encargarse de los clientes RPC no seguros. ¡No los dejes como están! ¡Son vulnerables!

Si estos dispositivos son dispositivos de terceros, debe comunicarse con el proveedor y solicitar una solución para que funcionen con Secure RPC.
Si por alguna razón no puede hacer que el cliente funcione con Secure RPC, Silverfort puede ayudar a protegerlo; vea más a continuación.

¿Cómo puede Silverfort ¿Ayuda hasta que todos los clientes RPC no seguros estén cubiertos?

Silverfort monitorea y controla el tráfico de Netlogon en la red. Esto permite Silverfort para detectar todas las computadoras que utilizan RPC no seguro. Para estos dispositivos, Silverfort puede aumentar el riesgo y proporcionar capas adicionales de seguridad, como intensificar el autenticación requisitos hacia o desde estos dispositivos.

Resumiendo los pasos recomendados:

1. Actualice sus controladores de dominio
2. Utilizar SilverfortLa herramienta de código abierto. para ver si queda algún DC sin parchear
3. Utilizar Silverfort o Microsoft para realizar auditorías para clientes que utilizan RPC no seguro
4. Coloque los clientes RPC no seguros en la lista de permitidos.
5. Mueva el dominio al modo de cumplimiento lo antes posible.
6. Inicie un proceso para reparar clientes RPC no seguros o eliminarlos de su red
7. Mientras tanto, utiliza Silverfort para proteger a los clientes vulnerables de la explotación y restringir su uso.

Yaron Kassner, CTO y cofundador, Silverfort

SilverfortCTO y cofundador de Yaron Kassner es un experto en ciberseguridad y tecnología de big data. Antes de cofundar Silverfort, Yaron se desempeñó como consultor experto en big data para Cisco. También desarrolló nuevas capacidades que involucran análisis de big data y algoritmos de aprendizaje automático en Microsoft. Antes de eso, Yaron sirvió en la unidad cibernética de élite 8200 de las Fuerzas de Defensa de Israel, donde dirigió un equipo de investigación y desarrollo de buena reputación, ascendió al rango de Capitán y recibió un prestigioso premio a la excelencia. Yaron tiene un B.Sc. en Matemáticas, Summa Cum Laude, M.Sc. y doctorado. en Ciencias de la Computación del Technion – Instituto de Tecnología de Israel.