La vulnerabilidad crítica bautizada como Zerologon, ha permitido en los últimos meses, el lanzamiento de varios exploits. Un exploit es un programa informático, que aprovechándose de un error o de una vulnerabilidad en el sistema, provoca un comportamiento imprevisto en un software, en un hardware o en cualquier dispositivo electrónico. Estos comportamientos anómalos pueden ser varios, desde la concesión de privilegios a un intruso, la toma de control de un sistema o lanzar un ataque DoS o DDoS de denegación de servicio.
Existen varios tipos de exploits, a continuación los describimos.
Tipos de exploits
- Vulnerabilidad remota.
Una vulnerabilidad remota, a través de una red, se extiende y sin necesidad de acceso previo al sistema que atacará, explota las brechas de seguridad.
- Vulnerabilidad local.
Esta vulnerabilidad, sí requiere acceso previo al sistema vulnerable. Generalmente, la intención es la de aumentar los privilegios para la persona que pretende ejecutar el exploit.
- Exploits específicos.
Contra aplicaciones que requieren contacto con un servidor, existen exploits específicos. Estos requieren cierta interacción del usuario y se suelen combinar con ingeniería social.
- Vulnerabilidades de Día Cero.
A estas vulnerabilidades también se las conoce como Zero day exploits. Se trata de brechas de seguridad en el software, que, hasta el momento del ataque, se desconocen. Los ciberdelincuentes pueden usarlas para lograr el mayor impacto en datos, programas o en toda la red.
Solución de Microsoft a la vulnerabilidad Zerologon
Al conocerse el ataque, rápidamente Microsoft lo corrigió mediante una actualización, pero todos aquellos equipos que no se pusieron al día, siguieron siendo vulnerables. Esta vulnerabilidad se solucionó parcialmente con parches lanzados en agosto de 2020. Este paquete de actualizaciones incluyó una solución para la vulnerabilidad CVE-2020-1472, una falla de implementación crítica en la escala de privilegios del servicio de autentificación Netlogon. Esta falla permitía a un atacante, apoyándose en su red interna, convertirse en administrador del dominio con tan solo un clic.
Microsoft ha publicado información sobre cómo se deben administrar los cambios asociados a esta vulnerabilidad en las conexiones de Netlogon.
Si deseas una evaluación más detallada, desde Hubler, te recomendamos consultar el documento AttackerKB de Zerologon.
