El Departamento de Seguridad Nacional (DHS, por sus siglas en inglés) ha dado hasta hoy (21 de septiembre) a los administradores de sistemas para corregir una vulnerabilidad crítica en Windows Server que podría permitir que un atacante secuestre redes federales, a través de una falla en la autenticación del sistema Netlogon.

El 18 de septiembre, la División de Ciberseguridad del DHS emitió una directiva de emergencia que otorgaba a las agencias gubernamentales cuatro días para corregir la vulnerabilidad CVE-2020-1472, también conocida como Zerologon, citando el "riesgo inaceptable" que representaba para las redes federales.

VER: Ingeniería social: una hoja de trucos para profesionales (PDF gratuito) (TechRepublic)

La falla permite que un usuario no autorizado tome el control de una red a través de una falla en el protocolo remoto de inicio de sesión de red de Microsoft Windows (MS-NRPC), simplemente enviando una serie de mensajes de inicio de sesión de red con campos de entrada llenos de ceros.

Una vez comprometido, un atacante podría convertirse en administrador de dominio y restablecer la contraseña de control de dominio, dándole control sobre toda la red.

Microsoft abordó CVE-2020-1472 como parte de su actualización de parche de agosto de 2020, cuando se le asignó una puntuación CVSS (Common Vulnerability Scoring System) de 10, la calificación más alta posible en términos de gravedad.

Una investigación posterior realizada por la firma holandesa de ciberseguridad Secura arrojó luz sobre la gravedad de la falla. En un informe sobre el exploit Zerologon, la firma dijo: "Este ataque tiene un gran impacto: esencialmente permite que cualquier atacante en la red local (como un infiltrado malicioso o alguien que simplemente haya conectado un dispositivo a una red local) para comprometer completamente el dominio de Windows.

"El ataque está completamente sin autenticar: el atacante no necesita ninguna credencial de usuario".

Fue como resultado del informe de Secura que la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) exigió que las agencias gubernamentales parchearan sus sistemas de inmediato.

En una directiva de emergencia asignada 20-04, DHS CISA dijo: “CISA ha determinado que esta vulnerabilidad representa un riesgo inaceptable para el poder ejecutivo civil federal y requiere una acción inmediata y urgente.

VER: Política de protección contra la suplantación de identidad (TechRepublic Premium)

La emisión de una directiva de emergencia es un movimiento poco común por parte del DHS y destaca la gravedad de la amenaza que representa la vulnerabilidad de Zerologon para las agencias gubernamentales.

Según la ley de los EE. UU., el Secretario de Seguridad Nacional está autorizado a “emitir una directiva de emergencia al jefe de una agencia para que tome cualquier acción legal con respecto a la operación del sistema de información… con el fin de proteger el sistema de información o mitigar una amenaza a la seguridad de la información”. .

Aunque la directiva solo se aplica a las agencias gubernamentales ejecutivas, CISA aconsejó a las agencias gubernamentales estatales y locales que también apliquen la seguridad de agosto de 2020 de Microsoft, así como a las organizaciones del sector privado y miembros de la audiencia.

Bryan Ware, subdirector de CISA, dijo en una publicación de blog: "No emitimos directivas de emergencia a menos que hayamos evaluado cuidadosamente y en colaboración que son necesarias".