{"id":23898,"date":"2020-09-18T12:59:46","date_gmt":"2020-09-18T10:59:46","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=23898"},"modified":"2020-09-18T12:59:46","modified_gmt":"2020-09-18T10:59:46","slug":"cve-2020-1472-domain-controller-vulnerability","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/cve-2020-1472-domain-controller-vulnerability\/23898\/","title":{"rendered":"Zerologon: una vulnerabilidad que amenaza a los controladores de dominio"},"content":{"rendered":"

En agosto, durante el Patch Tuesday, Microsoft cerr\u00f3 varias vulnerabilidades, entre ellas la CVE-2020-1472<\/a>. La vulnerabilidad en el protocolo Netlogon se catalog\u00f3 con un nivel de gravedad \u201ccr\u00edtico\u201d (su puntuaci\u00f3n CVSS alcanz\u00f3 la m\u00e1xima, de 10.0). No hab\u00eda duda de que supon\u00eda una amenaza, pero el otro d\u00eda, el investigador de Secura, Tom Tervoort (quien la descubri\u00f3), public\u00f3 un informe detallado<\/a> que explicaba por qu\u00e9 la vulnerabilidad, conocida como Zerologon, es tan peligrosa y c\u00f3mo se puede utilizar para secuestrar un controlador de dominio.<\/p>\n

A todo esto, \u00bfqu\u00e9 es Zerologon?<\/h2>\n

En resumen, la CVE-2020-1472 es el resultado de un error en la estrategia de autentificaci\u00f3n criptogr\u00e1fica del protocolo remoto de Netlogon. Este protocolo autentifica a los usuarios y los equipos en redes basadas en dominios y tambi\u00e9n se utiliza para actualizar las contrase\u00f1as del ordenador en remoto. Mediante la vulnerabilidad, un atacante puede hacerse pasar por un ordenador cliente y sustituir la contrase\u00f1a de un controlador de dominio (un servidor que controla una red al completo y ejecuta los servicios del Directorio Activo), que le permite al atacante hacerse con los derechos de administrador del dominio.<\/p>\n

\u00bfQui\u00e9n es vulnerable?<\/h2>\n

El CVE-2020-1472 supone un riesgo para las empresas cuyas redes est\u00e1n basadas en controladores de dominio que se ejecuten con Windows. En concreto, los ciberdelincuentes pueden secuestrar un controlador de dominio basado en cualquier versi\u00f3n de Windows Server 2019 o de Windows Server 2016, as\u00ed como cualquier edici\u00f3n de Windows Server versi\u00f3n 1909, Windows Server versi\u00f3n 1903, Windows Server versi\u00f3n 1809 (ediciones Datacenter y Standard), Windows Server 2012 R2, Windows Server 2012 o Windows Server 2008 R2 Service Pack 1. Para atacar, primero necesitar\u00edan penetrar en la red corporativa, pero ese no es el mayor problema; se conocen de sobra los ataques internos<\/a> y la penetraci\u00f3n a trav\u00e9s de los conectores Ethernet<\/a> en instalaciones accesibles al p\u00fablico.<\/p>\n

Afortunadamente, a\u00fan no se ha usado Zerologon en un ataque en el mundo real (o, por lo menos, no hemos tenido noticias). Sin embargo, el informe de Tervoort ha generado un gran revuelo y es muy probable que haya atra\u00eddo la atenci\u00f3n de los ciberdelincuentes. Ahora bien, aunque los investigadores no publicaron una prueba de concepto<\/a> operativa, no dudan de que un atacante pueda crear una bas\u00e1ndose en los parches.<\/p>\n

C\u00f3mo protegerse contra los ataques de Zerologon<\/h2>\n

A principios de agosto de este a\u00f1o, Microsoft public\u00f3 parches<\/a> para cerrar la vulnerabilidad en todos los sistemas afectados; si a\u00fan no has realizado la actualizaci\u00f3n, es hora de hacerlo. Adem\u00e1s, la empresa recomienda monitorizar cualquier intento de inicio de sesi\u00f3n que se haga mediante las versiones vulnerables del protocolo y los dispositivos de identificaci\u00f3n que no sean compatibles con la nueva versi\u00f3n. De acuerdo con Microsoft, la mejor opci\u00f3n es que el controlador de dominio se configure de tal forma que todos los dispositivos utilicen la versi\u00f3n segura de Netlogon.<\/p>\n

Las actualizaciones no obligan a cumplir con esta restricci\u00f3n porque el protocolo remoto de Netlogon no solo se utiliza en Windows; muchos dispositivos basados en otros sistemas operativos tambi\u00e9n utilizan este protocolo. Si haces obligatorio su uso, los dispositivos que no sean compatibles con la versi\u00f3n segura, no funcionar\u00e1n correctamente.<\/p>\n

Sin embargo, a partir del 9 de febrero del 2021, se exigir\u00e1 que los controladores de dominio se usen as\u00ed (es decir, obligar\u00e1n a todos los dispositivos a utilizar la versi\u00f3n actualizada y segura de Netlogon), por lo que los administradores tendr\u00e1n que solucionar por adelantado el problema de cumplimiento de los dispositivos de terceros (ya sea actualiz\u00e1ndolos o agreg\u00e1ndolos manualmente como excepciones). Para m\u00e1s informaci\u00f3n sobre el parche de agosto y lo cambios de febrero, adem\u00e1s de unas directrices espec\u00edficas, consulta la publicaci\u00f3n de Microsoft<\/a>.<\/p>\n\n","protected":false},"excerpt":{"rendered":"

La vulnerabilidad CVE-2020-1472 en el protocolo Netlogon, tambi\u00e9n conocida como Zerologon, permite a los atacantes secuestrar controladores de dominio.<\/p>\n","protected":false},"author":2581,"featured_media":23900,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2202,2754,2755],"tags":[2762,30,784],"class_list":{"0":"post-23898","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-cve","11":"tag-microsoft","12":"tag-vulnerabilidades"},"hreflang":[{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/cve-2020-1472-domain-controller-vulnerability\/23898\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/cve-2020-1472-domain-controller-vulnerability\/21903\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/cve-2020-1472-domain-controller-vulnerability\/17377\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/cve-2020-1472-domain-controller-vulnerability\/23294\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/cve-2020-1472-domain-controller-vulnerability\/21486\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/cve-2020-1472-domain-controller-vulnerability\/20106\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/cve-2020-1472-domain-controller-vulnerability\/22837\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/cve-2020-1472-domain-controller-vulnerability\/29085\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/cve-2020-1472-domain-controller-vulnerability\/8828\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/cve-2020-1472-domain-controller-vulnerability\/37048\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/cve-2020-1472-domain-controller-vulnerability\/15680\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/cve-2020-1472-domain-controller-vulnerability\/16049\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/cve-2020-1472-domain-controller-vulnerability\/13982\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/cve-2020-1472-domain-controller-vulnerability\/25178\/"},{"hreflang":"zh","url":"https:\/\/www.kaspersky.com.cn\/blog\/cve-2020-1472-domain-controller-vulnerability\/11985\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/cve-2020-1472-domain-controller-vulnerability\/29235\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/cve-2020-1472-domain-controller-vulnerability\/26096\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/cve-2020-1472-domain-controller-vulnerability\/22875\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/cve-2020-1472-domain-controller-vulnerability\/28197\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/cve-2020-1472-domain-controller-vulnerability\/28029\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.es\/blog\/tag\/vulnerabilidades\/","name":"vulnerabilidades"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/23898","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/users\/2581"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/comments?post=23898"}],"version-history":[{"count":5,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/23898\/revisions"}],"predecessor-version":[{"id":23904,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/23898\/revisions\/23904"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media\/23900"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media?parent=23898"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/categories?post=23898"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/tags?post=23898"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}