Estamos muy orgullosos y emocionados de anunciar que nuestro principal especialista en seguridad, Tom Tervoort, hablará en Black Hat USA 2021 sobre el CVE Zerologon (CVE-2020-1472).
En un entorno Windows Active Directory, los ordenadores unidos a un dominio necesitan comunicarse regularmente con los controladores de dominio para facilitar la autenticación de red NTLM y otra serie de tareas. Esta comunicación tiene lugar a través del protocolo remoto Netlogon. Lo interesante de este protocolo es que no utiliza Kerberos ni NTLM para la autenticación mutua. En su lugar, ambas partes utilizan un protocolo criptográfico no estándar para demostrar el conocimiento de la contraseña de un ordenador.
Este protocolo presentaba varios fallos: uno es una vulnerabilidad de degradación que permite a un atacante MitM lograr la ejecución remota privilegiada de código en el cliente Netlogon. Un segundo problema, mucho más grave, permitía la suplantación de cuentas informáticas arbitrarias. Utilizando una serie de ataques de texto cifrado elegido contra un oscuro modo de funcionamiento de cifrado por bloques (que se reducen simplemente a llenar de ceros una serie de campos), un atacante podía restablecer la contraseña del ordenador del controlador de dominio a una cadena vacía, extraer la base de datos de cuentas con el protocolo DRS y obtener acceso de administrador del dominio.
Un atacante no necesita ningún privilegio para llevar a cabo un ataque. Todo lo que se necesita es algún punto de apoyo inicial en la red desde el que se puedan establecer conexiones TCP a un DC sin parches. Desde su divulgación en septiembre de 2019, esta vulnerabilidad "Zerologon" ha sido explotada a gran escala y ha dado lugar a una directiva de emergencia del DHS para instalar parches.
En esta charla, Tom esbozará su investigación sobre la criptografía Netlogon y mostrará cómo descubrió accidentalmente un problema teórico que resultó ser una de las vulnerabilidades AD más críticas del año. Explicará los distintos pasos del exploit del ataque Zerologon y aclarará cómo lo mitiga exactamente el parche de Microsoft.