Vulnerabilidad

Vulnerabilidad CVE-2020-1472

17/09/2020
Se ha reportado una vulnerabilidad de elevación de privilegios en el protocolo Netlogon Remote Protocol (MS-NRPC). Esta vulnerabilidad (CVE-2020-1472) podría permitir a un atacante obtener control completo sobre Active Directory, ya que permite evadir la autenticación y configurar una contraseña vacía para cualquier equipo del dominio.
vulnerabilidad

La vulnerabilidad se presenta en el protocolo remoto Netlogon (MS-NRPC) debido a una implementación incorrecta del cifrado AES. Si bien no es necesario contar con credenciales para la explotación de la vulnerabilidad, el atacante debe contar con acceso a la red local, ya que el ataque debe funcionar simulando ser un intento de inicio de sesión normal.

Los productos y versiones afectadas se detallan en la siguiente tabla:

Productos Afectados

Versiones

Windows Server 2008 R2 x64

Service Pack 1

Windows Server 2012

 

Windows Server 2012 R2

 

Windows Server 2016

 

Windows Server 2019

 

Windows Server

  • 1903 (Server Core)
  • 1909 (Server Core)
  • 2004 (Server Core)

Samba

4.0 o superior, sólo cuando es usado como Controlador de Dominio Active Directory o NT4

Remediación

Microsoft Windows Server

Microsoft está manejando la vulnerabilidad en una implementación en dos fases.

  • La primera fase “Initial Deployment Phase” inicio con los parches liberados el 11 de agosto de 2020.
  • La segunda fase “Enforcement Mode” está planificada para el 9 de febrero del 2021.

La remediación de la vulnerabilidad implica instalar los parches mencionados sobre todos los controladores de dominio, incluyendo los de solo lectura.

Samba

Para las versiones 4.7 o inferiores se debe configurar el servidor para usar Netlogon en un canal seguro, para esto es necesario editar la siguiente configuración en la sección [global] del archivo smb.conf:

server schannel = yes

Las versiones 4.8 y superiores por defecto usan un canal seguro, lo que equivale a tener la configuración 'server schannel = yes' por defecto.

Estas versiones no son vulnerables a menos que se hayan configurado manualmente para usar un canal no seguro. Esto se puede verificar asegurándose de que las siguientes líneas no se encuentren en el archivo smb.conf:

server schannel = no

server schannel = auto

En caso contrario se deben quitar del archivo ya que esto indica la presencia de la vulnerabilidad.

Para que los miembros de dominio y servidores de archivos Samba puedan comunicarse con los controladores de dominio usando un canal seguro, se debe verificar que no contengan en su archivo smb.conf la línea:

client schannel = no

En caso de que se requiera compatibilidad con canales inseguros, se recomienda actualizar a las versiones 4.10.17, 4.11.12 o 4.12.6, que proveen soporte para configurar excepciones.

Recomendaciones

Se recomienda actualizar lo antes posible las actualizaciones del 11 de agosto de 2020 disponibles en el siguiente enlace.

Asimismo, se exhorta a seguir las indicaciones del fabricante para la aplicación de los parches y el acondicionamiento previo para los cambios a ser liberados en febrero de 2021. Acceder a las indicaciones en el siguiente enlace.

 

Referencias

 

Acceder a más información sobre CVE-2020-1472 en la página de Microsoft

Descargar indicaciones para la remediación sobre CVE-2020-147

Acceder a más información sobre CVE-2020-1472 en la página de Samba

Descargar los parches liberados por Samba
 

 

Etiquetas

Amenazas y alertas