Una nuevo fallo crítico afecta todas las versiones de Windows Server con soporte, desde Windows Server 2008 a Windows Server versión 2004. Se trata de una vulnerabilidad de elevación de privilegios en el servicio Netlogon en Windows.
La razón por la que este exploit es tan grave es porque permite a los atacantes ganar control instantáneo del Directorio Activo de Windows, y a partir de ahí básicamente pueden hacer lo que quieran con toda la red de ordenadores de una organización o empresa.
Una vulnerabilidad con la puntuación más alta en la escala de severidad y que Microsoft aún está mitigando
La vulnerabilidad CVE-2020-1472 tiene un 10 de puntuación y es calificada como critica. Aunque Microsoft ya publicó un parche para mitigar el fallo, la empresa está haciéndolo en dos partes, y aunque no hay evidencia de que haya sido explotado, múltiples firmas de seguridad han creado pruebas de concepto en las que muestran como es posible usar el parche de Microsoft para trabajar de forma inversa y desarrollar un exploit.
Para los menos entendidos, el Directorio Activo o «Active Directory» de Windows es un servicio del sistema operativo para implementar el conjunto de aplicaciones que organizan y almacenan todos los recursos de una red de ordenadores.
El Directorio Activo es básicamente la barrera que protege todas las máquinas conectadas a una red, y esta vulnerabilidad solo requiere que un atacante ponga un pequeño pie dentro de la red objetivo para hacerse con todos los privilegios.
Por ejemplo, si un empleado es engañado y termina instalando malware en su ordenador, aunque este no tenga privilegios elevados, su dispositivo una vez comprometido, puede usarse para acceder al resto de la red.
Aunque esto suele ser bastante difícil, investigadores de seguridad de Secura han publicado un informe describiendo el exploit «Zerologon» mostrando cómo cualquier atacante de la red local (como un infiltrado malintencionado o alguien que simplemente conectó un dispositivo a un puerto de red local) puede comprometer completamente el dominio de Windows.
«El atacante no necesita ninguna credencial de usuario». Secura reportó la vulnerabilidad a Microsoft y dicen haber desarrollado un exploit que funciona, pero dado el riesgo que representa no lo han liberado hasta que estén seguros que los parches de Microsoft han sido instalados en la mayoría de servidores vulnerables.