Cómo protegerse contra Zerologon y otras vulnerabilidades similares

Para detener todas las amenazas a la infraestructura corporativa, debes hacer algo más que proteger las estaciones de trabajo.

En septiembre del año pasado, la CISA (Agencia de Seguridad de Infraestructura y Ciberseguridad de los EE. UU.), que rara vez emite directrices sobre vulnerabilidades específicas, animó a las agencias gubernamentales que usan el Directorio Activo de Microsoft Windows en sus redes, a parchear todos los controladores de dominio de inmediato. El motivo está relacionado con la vulnerabilidad CVE-2020-1472 en el protocolo Netlogon, denominada Zerologon.

10.0 en la escala de riesgo

La vulnerabilidad Zerologon proviene de un algoritmo cifrado poco fiable en el mecanismo de autentificación de Netlogon. Permite que un intruso que se haya conectado a la red corporativa o que haya infectado un ordenador de este ataque y, en última instancia, tome el control de un controlador de dominio.

La vulnerabilidad está puntuada con el valor máximo de la escala CVSSv3, 10.0. Microsoft lanzó un parche en agosto, pero fue un estudio en profundidad de la firma holandesa de ciberseguridad Secura lo que puso el centro de atención sobre Zerologon y su explotación. A las pocas horas de la publicación del documento, los investigadores comenzaron a publicar sus propias pruebas de concepto (PoC por sus siglas en inglés). En unos pocos días, al menos cuatro muestras de código de fuente abierta estaban disponibles en GitHub, que demostraban cómo se podría utilizar realmente la vulnerabilidad.

Zerologon en ataques reales

Por supuesto, las PoC disponibles públicamente atrajeron la atención no solo de los expertos en seguridad de información, sino también de los ciberdelincuentes, que solo tenían que cortar y pegar el código en su malware. Por ejemplo, a principios de octubre, Microsoft informó de los intentos del grupo TA505 de explotar Zerologon. Los ciberdelincuentes disfrazaron el malware como una actualización de software y compilaron herramientas de ataque en los ordenadores infectados para aprovechar la vulnerabilidad.

Otro grupo, el que está detrás del ransomware Ryuk, usó Zerologon para infectar toda la red local de una empresa en solo cinco horas. Después de enviar a un empleado un correo electrónico de phishing estándar, el grupo esperó a que hiciera clic en él y se infectara el ordenador, y luego utilizó Zerologon para moverse lateralmente a través de la red, distribuyendo un ejecutable de ransomware a todos los servidores y estaciones de trabajo.

Por qué Zerologon es peligroso

Puede parecer que la explotación de Zerologon requiere un ataque a un controlador de dominio desde la red local. Sin embargo, los ciberdelincuentes han podido superar este obstáculo utilizando varios métodos para secuestrar un ordenador en la red. Estos incluyen el uso de phishing, ataques a la cadena de suministro e incluso tomas de red desatendidas en áreas para visitantes. Las conexiones en remoto (que casi todas las empresas usan estos días) suponen un problema adicional, sobre todo si los empleados pueden conectarse a los recursos corporativos desde sus propios dispositivos.

El principal problema con Zerologon (y otras vulnerabilidades hipotéticas de este tipo) es que su explotación parece un intercambio de datos estándar entre un ordenador en la red y un controlador de dominio; solo la inusual intensidad del intercambio podría despertar sospechas. Dicho esto, las empresas que dependen únicamente de las soluciones de seguridad para endpoint tienen pocas posibilidades de detectar tales ataques.

Es mejor delegar la tarea de la gestión de anomalías a servicios especializados como Kaspersky Managed Detection and Response (MDR), un centro de seguridad externo con un conocimiento profundo de las tácticas de los ciberdelincuentes, que brinda una serie de recomendaciones prácticas detalladas al cliente.

La solución tiene dos niveles: MDR óptimo y MDR experto. Tan pronto como se publicaron los detalles de Zerologon, los expertos de Kaspersky SOC comenzaron a rastrear los intentos de explotación de la vulnerabilidad dentro del servicio MDR, asegurando que ambas versiones de Kaspersky Managed Detection and Response puedan combatir esta amenaza.

Kaspersky Managed Detection and Response forma parte de Kaspersky Optimum Security. Para más información sobre la solución, consulta la página de Kaspersky MDR.

Consejos