Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1019
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
▼
2020
(Total:
212
)
-
▼
septiembre
(Total:
21
)
- El ransomware llega a las máquinas de café: cafete...
- Ransomware AgeLocker afecta dispostivos QNAS no ac...
- Red hospitales Universal Health Services (UHS) ata...
- Rusia quiere prohibir el uso de protocolos seguros...
- Corregida vulnerabilidad ejecución remota de códig...
- Filtrado el código fuente de Microsoft Windows XP ...
- Antiguo televisor provoca cortes en la conexión a ...
- Comandos, herramientas y opciones para reparar sis...
- Adolescente de Florida de 16 años arrestado por re...
- Crackers llevan un año intentando abrir una carter...
- Exploits vulnerabilidad crítica ZeroLogon en Windo...
- Microsoft corrige 129 vulnerabilidades de segurida...
- SegurCaixa Adeslas víctima de un ataque de ransonw...
- Grave vulnerabilidad RCE en plugin File Manager de...
- Banco de Estado Chileno víctima ataque ransomware ...
- Dirección Nacional de Migraciones de Argentina afe...
- Repartidores de Amazon cuelgan teléfonos en los ár...
- Ataque ransomware al hospital Moisès Broggi de San...
- Nvidia presenta segunda generación de tarjetas GeF...
- Fallo de seguridad permite saltarse la confirmació...
- El CNI investiga el hackeo de los móviles de vario...
-
▼
septiembre
(Total:
21
)
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
seguridad
(
395
)
privacidad
(
363
)
google
(
353
)
ransomware
(
338
)
vulnerabilidad
(
301
)
Malware
(
263
)
Windows
(
243
)
android
(
242
)
cve
(
235
)
tutorial
(
235
)
manual
(
220
)
software
(
201
)
hardware
(
193
)
linux
(
124
)
twitter
(
115
)
ddos
(
94
)
WhatsApp
(
90
)
Wifi
(
85
)
cifrado
(
77
)
herramientas
(
75
)
hacking
(
73
)
sysadmin
(
67
)
app
(
65
)
Networking
(
56
)
nvidia
(
52
)
ssd
(
51
)
youtube
(
50
)
adobe
(
43
)
firmware
(
42
)
office
(
41
)
hack
(
40
)
firefox
(
35
)
contraseñas
(
32
)
eventos
(
32
)
antivirus
(
31
)
juegos
(
31
)
cms
(
30
)
flash
(
28
)
anonymous
(
27
)
MAC
(
25
)
apache
(
25
)
programación
(
25
)
exploit
(
23
)
javascript
(
22
)
multimedia
(
22
)
Kernel
(
20
)
ssl
(
19
)
SeguridadWireless
(
17
)
documental
(
16
)
Forense
(
15
)
conferencia
(
15
)
Debugger
(
14
)
lizard squad
(
14
)
técnicas hacking
(
13
)
auditoría
(
12
)
delitos
(
11
)
metasploit
(
11
)
Virtualización
(
10
)
adamo
(
9
)
reversing
(
9
)
Rootkit
(
8
)
Ehn-Dev
(
7
)
MAC Adress
(
6
)
antimalware
(
6
)
oclHashcat
(
5
)
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
En el panorama en constante evolución de la seguridad de redes, OpnSense se ha convertido en una formidable solución de firewall. Nacido de...
-
Pese a que Gemini ofrece multitudes de opciones, recientemente, se ha dado a conocer una situación fuera de lo común. Hace unos días, un es...
Exploits vulnerabilidad crítica ZeroLogon en Windows Server
miércoles, 16 de septiembre de 2020
|
Publicado por
el-brujo
|
Editar entrada
La grave vulnerabilidad de ZeroLogon (CVE-2020-1472) ya tiene PoC (Prueba de concepto) y exploit público funcionando y es muy peligroso. Permite obtener permisos de administrador en un DC. Vulnerabilidad con puntuación CVSS de 10 sobre 10. El fallo se solucionó en las actualizaciones de seguridad de Microsoft de agosto de 2020. Sin embargo, esta semana se lanzaron al menos cuatro exploits PoC públicos para el fallo en Github, y además,, los investigadores de Secura (que descubrieron originalmente la vulnerabilidad) publicaron detalles técnicos de la vulnerabilidad. Incluso la popular herramienta mimikatz ha añadido soporte para explotar la vulnerabilidad de manera más rápida vía RPC.
La base de datos del NIST ha asignado al CVE-2020-1472 la criticidad máxima de 10.0 según la escala CVSSv3, al tratarse de una vulnerabilidad explotable únicamente con tener visibilidad en la red del DC, con una complejidad técnica baja, sin requerir privilegios y sin ser necesaria la interacción de un usuario legítimo.
Si tienes el sistema Windows Server en tu organización, debes actualizarlo cuanto antes con los últimos parches de Microsoft. La vulnerabilidad crítica en este sistema operativo Windows Server desde la versión 2008 hasta las últimas versiones disponibles, es decir, afecta a todas y cada una de las versiones de Microsoft. Esta vulnerabilidad tiene una severidad de 10.0, además, ya hay PoC que permiten explotar esta vulnerabilidad fácilmente.
Esta vulnerabilidad catalogada como crítica 10/10, afecta directamente a los controladores de dominio (DC) de los directorios activo (AD). Debido a un error en la implementación incorrecta de AES-CFB8 en el protocolo Netlogon, un atacante podría establecer una nueva contraseña sin más requisitos, y todo ello para tomar el control completo del DC y hacerse con las credenciales de usuario administrador. El fallo se ubica en el protocolo de enlace de autenticación inicial, ya que se omite la autenticación de manera general, por tanto, un atacante únicamente tiene que establecer una conexión TCP con un controlador de dominio vulnerable, simplemente con estar dentro de la red local sería suficiente para explotar este fallo, ya que no requiere ningún tipo de credencial de dominio.
Debido a este error en la implementación de AES, se puede obtener el control del DC por completo, y establecer una contraseña vacía en el dominio. Debido a la ausencia de autenticación a la hora de explotar este fallo de seguridad, se le ha denominado a esta vulnerabilidad «Zerologon».
Valor del registro:
Asegurar que tiene el valor "1"
Además, Samba, una implementación del protocolo de red SMB para sistemas Linux, ya que las versiones 4.7 y anteriores también son vulnerables a la falla de Zerologon. También se ha emitido una actualización de parche para este software.
También hay PoC's disponibles para CVE-2020-16875, un RCE en servidores Microsoft Exchange con puntuación CVSS de 8.4
Microsoft Exchange Server DlpUtils AddTenantDlpPolicy Remote Code Execution Vulnerability
Fuentes:
https://www.ccn-cert.cni.es/seguridad-al-dia/alertas-ccn-cert/10477-ccn-cert-al-09-20-vulnerabilidad-zerologon.html
https://www.redeszone.net/noticias/seguridad/vulnerabilidad-critica-windows-server-zerologon/
La base de datos del NIST ha asignado al CVE-2020-1472 la criticidad máxima de 10.0 según la escala CVSSv3, al tratarse de una vulnerabilidad explotable únicamente con tener visibilidad en la red del DC, con una complejidad técnica baja, sin requerir privilegios y sin ser necesaria la interacción de un usuario legítimo.
- CVE-2020-1472 | Netlogon Elevation of Privilege Vulnerability
- ZeroLogon testing script
Vulnerabilidad crítica en Windows Server
Si tienes el sistema Windows Server en tu organización, debes actualizarlo cuanto antes con los últimos parches de Microsoft. La vulnerabilidad crítica en este sistema operativo Windows Server desde la versión 2008 hasta las últimas versiones disponibles, es decir, afecta a todas y cada una de las versiones de Microsoft. Esta vulnerabilidad tiene una severidad de 10.0, además, ya hay PoC que permiten explotar esta vulnerabilidad fácilmente.
El protocolo remoto de Netlogon (también llamado MS-NRPC)
es una interfaz RPC que se usa exclusivamente por dispositivos Unidos a
un dominio. MS-NRPC incluye un método de autenticación y un método para
establecer un canal seguro de netlogon. Estas actualizaciones exigen el
comportamiento específico del cliente Netlogon para usar RPC seguro con
canal seguro de Netlogon entre equipos miembros y controladores de
dominio (DC) de Active Directory (AD).
Esta actualización de seguridad corrige la
vulnerabilidad al aplicar la RPC segura cuando se usa el canal seguro de
Netlogon en una versión escalonada que se explica en la sección actualizaciones.
Para proporcionar protección de bosques de AD, todos los DC de deben
ser actualizados ya que aplicarán RPC seguros con canal seguro de
netlogon. Esto incluye controladores de dominio de solo lectura (RODC).
Para obtener más información sobre la vulnerabilidad, consulte CVE-2020-1472.
Se han hecho públicos los detalles de explotación de esta vulnerabilidad que afecta de forma directa a los controladores de dominio (DC) del Directorio Activo (AD). Debido a un error en la implementación criptográfica del protocolo Netlogon, específicamente en el uso del cifrado AES-CFB8, es posible establecer una nueva contraseña en el DC. Tras ello, un atacante podría utilizar esa nueva contraseña para tomar el control completo del DC y usurpar las credenciales de un usuario administrador del dominio.
Debido a un uso incorrecto en la implementación del algoritmo de cifrado AES, es posible obtener el control del DC y establecer una contraseña vacía en el dominio. El pasado mes de agosto Microsoft lanzó las correspondientes actualizaciones para corregir esta vulnerabilidad, la cual ha sido denominado “Zerologon” debido a la ausencia total de autenticación a la hora de explotarla
Se han hecho públicos los detalles de explotación de esta vulnerabilidad que afecta de forma directa a los controladores de dominio (DC) del Directorio Activo (AD). Debido a un error en la implementación criptográfica del protocolo Netlogon, específicamente en el uso del cifrado AES-CFB8, es posible establecer una nueva contraseña en el DC. Tras ello, un atacante podría utilizar esa nueva contraseña para tomar el control completo del DC y usurpar las credenciales de un usuario administrador del dominio.
Debido a un uso incorrecto en la implementación del algoritmo de cifrado AES, es posible obtener el control del DC y establecer una contraseña vacía en el dominio. El pasado mes de agosto Microsoft lanzó las correspondientes actualizaciones para corregir esta vulnerabilidad, la cual ha sido denominado “Zerologon” debido a la ausencia total de autenticación a la hora de explotarla
Versiones de Microsoft Windows Server afectadas por Zerologon
La vulnerabilidad denominada Zerologon fue solucionada por Microsoft en su boletín de seguridad el pasado mes de agosto, pero es ahora cuando se ha hecho pública para dar un tiempo prudencial a los administradores de sistemas para instalar estos parches y comprobar que funciona todo correctamente. Microsoft lanzó un aviso de seguridad el día 11 de agosto de 2020 confirmando la vulnerabilidad descubierta en todas las versiones de Windows:- Windows Server 2008 R2 for x64-based Systems Service Pack 1
- Windows Server 2012
- Windows Server 2012 (Server Core installation)
- Windows Server 2012 R2
- Windows Server 2012 R2 (Server Core installation)
- Windows Server 2016
- Windows Server 2016 (Server Core installation)
- Windows Server 2019
- Windows Server 2019 (Server Core installation)
- Windows Server, version 1903 (Server Core installation)
- Windows Server, version 1909 (Server Core installation)
- Windows Server, version 2004 (Server Core installation)
Esta vulnerabilidad catalogada como crítica 10/10, afecta directamente a los controladores de dominio (DC) de los directorios activo (AD). Debido a un error en la implementación incorrecta de AES-CFB8 en el protocolo Netlogon, un atacante podría establecer una nueva contraseña sin más requisitos, y todo ello para tomar el control completo del DC y hacerse con las credenciales de usuario administrador. El fallo se ubica en el protocolo de enlace de autenticación inicial, ya que se omite la autenticación de manera general, por tanto, un atacante únicamente tiene que establecer una conexión TCP con un controlador de dominio vulnerable, simplemente con estar dentro de la red local sería suficiente para explotar este fallo, ya que no requiere ningún tipo de credencial de dominio.
Debido a este error en la implementación de AES, se puede obtener el control del DC por completo, y establecer una contraseña vacía en el dominio. Debido a la ausencia de autenticación a la hora de explotar este fallo de seguridad, se le ha denominado a esta vulnerabilidad «Zerologon».
Exploits públicos PoC ZeroLogon CVE-2020-1472
Exploits en Pyhton y .NET
Exploit for Netlogon Remote Protocol Vulnerability, CVE-2020-1472
- https://github.com/nccgroup/nccfsas/tree/main/Tools/SharpZeroLogon
- https://github.com/dirkjanm/CVE-2020-1472
- https://github.com/blackarrowsec/redteam-research/tree/master/CVE-2020-1472
- https://github.com/dirkjanm/CVE-2020-1472/blob/master/cve-2020-1472-exploit.py
- https://github.com/bb00/zer0dump
- https://github.com/risksense/zerologon/
Valor del registro:
- FullSecureChannelProtection clave del registro para habilitar el modo de aplicación de DC para todas las cuentas de equipo (la fase de cumplimiento actualizará los DC al modo de aplicación de DC).
FullSecureChannelProtection
Asegurar que tiene el valor "1"
ZeroLogon Detector - Reglas Yara
El artefacto más documentado es Windows Event ID 4742 'Se cambió una cuenta de computadora', a menudo combinado con Windows Event ID 4672 'Privilegios especiales asignados a un nuevo inicio de sesión.Además, Samba, una implementación del protocolo de red SMB para sistemas Linux, ya que las versiones 4.7 y anteriores también son vulnerables a la falla de Zerologon. También se ha emitido una actualización de parche para este software.
RCE en Microsoft Exchange
También hay PoC's disponibles para CVE-2020-16875, un RCE en servidores Microsoft Exchange con puntuación CVSS de 8.4
Microsoft Exchange Server DlpUtils AddTenantDlpPolicy Remote Code Execution Vulnerability
Fuentes:
https://www.ccn-cert.cni.es/seguridad-al-dia/alertas-ccn-cert/10477-ccn-cert-al-09-20-vulnerabilidad-zerologon.html
https://www.redeszone.net/noticias/seguridad/vulnerabilidad-critica-windows-server-zerologon/
Enviar por correo electrónico
Escribe un blog
Compartir en X
Compartir con Facebook
Compartir en Pinterest
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.