Los equipos de IT y encargados de ciberseguridad de una organización encuentran cada día numerosas vulnerabilidades, lo cual los lleva a estar sometidos a una presión y a un tiempo de respuesta muy corto para resolver este tipo de incidentes, con el pasar de los meses, la situación ha sido más compleja debido a la pandemia por la que atraviesa el mundo, ya que los ciberataques están siendo más numerosos y sofisticados.
Recientemente ha surgido un nuevo CVE (Common Vulnerabilities and Exposures) el cual ha dado mucho de qué hablar: CVE-2020-1472. Zerologon, como ha sido llamado, permite que un atacante aproveche el algoritmo criptográfico utilizado en el proceso de autenticación del servicio Netlogon e imite a cualquier computadora al momento de intentar autenticar al usuario, contra el controlador del dominio.
En pocas palabras, esta vulnerabilidad en el Protocolo Remoto de Netlogon (MS-NRPC) podría permitir que los atacantes corran sus aplicaciones en un dispositivo a la red. Un atacante no autenticado podría usar MS-NRPC para conectarse a un Domain Controller (DC), y así obtener accesos administrativos.
De acuerdo con Dustin Childs de Zero Day Initiative (ZDI), “Lo peor es que no está disponible un arreglo completo. Este parche permite que los DCs protejan a los dispositivos, pero, se espera que para el Q1-2021, se cuente con un segundo parche que refuerce el Remote Procedure Call (RCP) con Netlogon para abordar este bug por completo. Después de aplicar este parche, aún se necesitará realizar cambios a los DC. Microsoft publicó una guía para ayudar a los administradores a elegir la configuración correcta.”
De igual manera, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), registra que el riesgo es tal que puede permitir a los ciberdelincuentes no hacer uso de contraseñas para acceder a los controladores de dominio, ya que solo hay un punto de apoyo en la red, como mediante la explotación de un dispositivo vulnerable conectado a la red.
Pero, si hay un parche, ¿por qué es esto tan importante?
Se puede pensar que “Si hay un parche entonces esto no es un problema.” Pero, la idea de “sólo poner un parche” no es tan fácil como suena. El tiempo promedio para colocar un parche (MTTP) es de 60 a 150 días, y este CVE fue publicado a principios de agosto, por lo que el tiempo promedio de implementación de este parche podría ser entre octubre de 2020 y enero de 2021.
Así mismo, es posible que se haya escuchado la broma que después del martes de Parches viene el miércoles de Exploits. Esa es la forma cómica de sugerir que después de que un conjunto de parches para nuevos CVEs son lanzados el primer martes de cada mes por parte de Microsoft y Adobe, los atacantes se ponen a trabajar para revertir los parches y escribir exploits para aprovechar los bugs antes de que se apliquen los parches.
Dado el MTTP, esto significa que hay de 2 a 5 meses durante los cuales las organizaciones se ven expuestas a una amenaza conocida.
¿Qué puede hacer para proteger a las organizaciones?
Afortunadamente, Trend Micro cuenta con el parcheo virtual, el cual ofrece una capa extra de seguridad para proteger los DC´s contra las vulnerabilidades antes de que pueda aplicar el parche oficial del vendedor. Como su nombre lo indica, los parches virtuales pueden ser una red crítica de seguridad que permiten parchar de forma que funcione para su organización.
Gracias a ZDI, actualmente los clientes están protegidos 81 días antes de que un vendedor libere su parche (de acuerdo con datos del 2019). Así que, cuando se presenta una vulnerabilidad ante la ZDI, nuestro equipo se pone a trabajar para añadir protección frente a la vulnerabilidad no parchada.
