En septiembre del a\u00f1o pasado, la CISA (Agencia de Seguridad de Infraestructura y Ciberseguridad de los EE. UU.), que rara vez emite directrices sobre vulnerabilidades espec\u00edficas, anim\u00f3 a las agencias gubernamentales que usan el Directorio Activo de Microsoft Windows en sus redes, a parchear todos los controladores de dominio de inmediato. El motivo est\u00e1 relacionado con la vulnerabilidad CVE-2020-1472 en el protocolo Netlogon, denominada Zerologon.<\/p>\n
La vulnerabilidad Zerologon<\/a> proviene de un algoritmo cifrado poco fiable en el mecanismo de autentificaci\u00f3n de Netlogon. Permite que un intruso que se haya conectado a la red corporativa o que haya infectado un ordenador de este ataque y, en \u00faltima instancia, tome el control de un controlador de dominio.<\/p>\n La vulnerabilidad est\u00e1 puntuada con el valor m\u00e1ximo de la escala CVSSv3, 10.0. Microsoft lanz\u00f3 un parche en agosto, pero fue un estudio en profundidad de la firma holandesa de ciberseguridad Secura lo que puso el centro de atenci\u00f3n sobre Zerologon y su explotaci\u00f3n. A las pocas horas de la publicaci\u00f3n del documento, los investigadores comenzaron a publicar sus propias pruebas de concepto<\/a> (PoC por sus siglas en ingl\u00e9s). En unos pocos d\u00edas, al menos cuatro muestras de c\u00f3digo de fuente abierta estaban disponibles en GitHub, que demostraban c\u00f3mo se podr\u00eda utilizar realmente la vulnerabilidad.<\/p>\n Por supuesto, las PoC disponibles p\u00fablicamente atrajeron la atenci\u00f3n no solo de los expertos en seguridad de informaci\u00f3n, sino tambi\u00e9n de los ciberdelincuentes, que solo ten\u00edan que cortar y pegar el c\u00f3digo en su malware<\/em>. Por ejemplo, a principios de octubre, Microsoft inform\u00f3<\/a> de los intentos del grupo TA505 de explotar Zerologon. Los ciberdelincuentes disfrazaron el malware<\/em> como una actualizaci\u00f3n de software<\/em> y compilaron herramientas de ataque en los ordenadores infectados para aprovechar la vulnerabilidad.<\/p>\n Otro grupo, el que est\u00e1 detr\u00e1s del ransomware<\/em> Ryuk, us\u00f3 Zerologon para infectar toda la red local de una empresa en solo cinco horas<\/a>. Despu\u00e9s de enviar a un empleado un correo electr\u00f3nico de phishing<\/em> est\u00e1ndar, el grupo esper\u00f3 a que hiciera clic en \u00e9l y se infectara el ordenador, y luego utiliz\u00f3 Zerologon para moverse lateralmente a trav\u00e9s de la red, distribuyendo un ejecutable de ransomware<\/em> a todos los servidores y estaciones de trabajo.<\/p>\n Puede parecer que la explotaci\u00f3n de Zerologon requiere un ataque a un controlador de dominio desde la red local. Sin embargo, los ciberdelincuentes han podido superar este obst\u00e1culo utilizando varios m\u00e9todos para secuestrar un ordenador en la red. Estos incluyen el uso de phishing<\/em>, ataques a la cadena de suministro e incluso tomas de red desatendidas en \u00e1reas para visitantes. Las conexiones en remoto (que casi todas las empresas usan estos d\u00edas) suponen un problema adicional, sobre todo si los empleados pueden conectarse a los recursos corporativos desde sus propios dispositivos.<\/p>\n El principal problema con Zerologon (y otras vulnerabilidades hipot\u00e9ticas de este tipo) es que su explotaci\u00f3n parece un intercambio de datos est\u00e1ndar entre un ordenador en la red y un controlador de dominio; solo la inusual intensidad del intercambio podr\u00eda despertar sospechas. Dicho esto, las empresas que dependen \u00fanicamente de las soluciones de seguridad para endpoint<\/em> tienen pocas posibilidades de detectar tales ataques.<\/p>\n Es mejor delegar la tarea de la gesti\u00f3n de anomal\u00edas a servicios especializados como Kaspersky Managed Detection and Response (MDR), un centro de seguridad externo con un conocimiento profundo de las t\u00e1cticas de los ciberdelincuentes, que brinda una serie de recomendaciones pr\u00e1cticas detalladas al cliente.<\/p>\n La soluci\u00f3n tiene dos niveles: MDR \u00f3ptimo y MDR experto. Tan pronto como se publicaron los detalles de Zerologon, los expertos de Kaspersky SOC comenzaron a rastrear los intentos de explotaci\u00f3n de la vulnerabilidad dentro del servicio MDR, asegurando que ambas versiones de Kaspersky Managed Detection and Response puedan combatir esta amenaza.<\/p>\n Kaspersky Managed Detection and Response forma parte de Kaspersky Optimum Security<\/a>. Para m\u00e1s informaci\u00f3n sobre la soluci\u00f3n, consulta la p\u00e1gina de Kaspersky MDR<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":" Para detener todas las amenazas a la infraestructura corporativa, debes hacer algo m\u00e1s que proteger las estaciones de trabajo.<\/p>\n","protected":false},"author":2581,"featured_media":24927,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1348,2202,2754,2755],"tags":[3214,338],"class_list":{"0":"post-24926","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-business","9":"category-enterprise","10":"category-smb","11":"tag-acceso-no-autorizado","12":"tag-vulnerabilidad"},"hreflang":[{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/zerologon-threat-mdr\/24926\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/zerologon-threat-mdr\/22621\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/zerologon-threat-mdr\/18114\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/zerologon-threat-mdr\/8993\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/zerologon-threat-mdr\/22433\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/zerologon-threat-mdr\/21467\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/zerologon-threat-mdr\/24178\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/zerologon-threat-mdr\/30359\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/zerologon-threat-mdr\/9440\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/zerologon-threat-mdr\/39026\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/zerologon-threat-mdr\/16565\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/zerologon-threat-mdr\/17212\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/zerologon-threat-mdr\/26376\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/zerologon-threat-mdr\/23721\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/zerologon-threat-mdr\/29001\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/zerologon-threat-mdr\/28803\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.es\/blog\/tag\/vulnerabilidad\/","name":"vulnerabilidad"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/24926","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/users\/2581"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/comments?post=24926"}],"version-history":[{"count":5,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/24926\/revisions"}],"predecessor-version":[{"id":24946,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/24926\/revisions\/24946"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media\/24927"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media?parent=24926"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/categories?post=24926"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/tags?post=24926"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Zerologon en ataques reales<\/h2>\n
Por qu\u00e9 Zerologon es peligroso<\/h2>\n