Hace unas semanas vimos de qué se trataba la vulnerabilidad Zerologon, un nuevo problema que afecta a los sistemas Windows. Los piratas informáticos se aprovechan de ese fallo de seguridad para atacar los equipos de las víctimas. Por suerte desde Microsoft lanzaron parches para corregir este problema y evitar así que los piratas informáticos tuvieran barra libre. Ahora bien, el problema en la actualidad es que muchos usuarios todavía no han actualizado sus equipos y desde Microsoft alertan de ataques que están aprovechando esta vulnerabilidad.
Microsoft alerta de ataques que usan Zerologon
Desde el gigante del software han alertado de que los ciberdelincuentes están aprovechando la vulnerabilidad de escalada de privilegios Zerologon en el Protocolo remoto de Netlogon (MS-NRPC), que fue registrada como CVE-2020-1472. Han recibido diferentes informes que lo demuestran.
Esta vulnerabilidad que mencionamos fue corregida el pasado mes de agosto, como sabemos. Lanzaron parches para proteger los equipos y evitar así este tipo de ataques. Sin embargo no todos los usuarios han instalado correctamente las actualizaciones de seguridad y por tanto no están protegidos.
En los dispositivos Windows Server donde la vulnerabilidad no ha sido parcheada, los atacantes pueden falsificar una cuenta de controlador de dominio para robar credenciales y apoderarse de todo el dominio en caso de lograr una explotación exitosa.
Desde Microsoft indican que recomiendan encarecidamente a cualquiera que no haya aplicado la actualización a que dé este paso ahora. Los clientes deben aplicar la actualización y seguir los pasos y consejos como se describe en KB4557222 para asegurarse de que están completamente protegidos de esta vulnerabilidad.
Como sabemos, Zerologon es una vulnerabilidad crítica que permite a los atacantes elevar los privilegios a un administrador de dominio, lo que les permite tomar el control total de todo el dominio, cambiar la contraseña de cualquier usuario y ejecutar cualquier comando arbitrario.
Plan de actualización de Microsoft
Desde Microsoft crearon un plan de actualización para que todos los administradores aplicaran correctamente y evitar así esta vulnerabilidad. Este plan incluye una serie de acciones que vamos a mostrar.
Lo primero consiste en actualizar los controladores de dominio. Esto es algo que es posible hacer desde el 11 de agosto de 2020, con una actualización que fue publicada. Sin embargo, como hemos mencionado, muchos administradores aún no la han aplicado.
Posteriormente también se debe encontrar qué dispositivos tienen conexiones vulnerables a través del seguimiento de los registros de eventos.
La tercera acción que incluye el plan de Microsoft es la de dirigir dispositivos no compatibles que tienen conexiones vulnerables.
Por último, la cuarta acción es habilitar el modo de ejecución para abordar CVE-2020-1472 en el entorno.
En definitiva, desde Microsoft han lanzado una advertencia de que están llegando ataques que se aprovechan de la vulnerabilidad de Zerologon. No es la primera vez que ocurre esto, ya que en el pasado mes de septiembre también indicaron que los piratas informáticos estaban llevando a cabo ataques aprovechándose de este fallo de seguridad sin corregir.
Desde RedesZone, como hacemos siempre, recomendamos actualizar los sistemas a las últimas versiones y evitar así problemas de seguridad que puedan afectarnos. Es esencial que esto lo apliquemos a todo tipo de sistema operativo o dispositivo que estemos utilizando. Os dejamos un artículo donde mostramos la importancia de actualizar el router y la tarjeta de red.