Ha surgido un nuevo CVE recientemente que ha dado mucho de qué hablar: CVE-2020-1472. Zerologon, como ha sido llamado, puede permitir que un atacante aproveche el algoritmo criptográfico utilizado en el proceso de autenticación Netlogon e imita a cualquier computadora al momento de intentar autenticar contra el controlador del dominio.
En pocas palabras, esta vulnerabilidad en el Protocolo Remoto de Netlogon (MS-NRPC) podría permitir que los atacantes corran sus aplicaciones en un dispositivo en la red. Un atacante no autenticado podría usar MS-NRPC para conectarse a un Domain Controller (DC) para obtener accesos administrativos.
De acuerdo con Dustin Childs de nuestra Zero Day Initiative (ZDI), “Lo peor es que no está disponible un arreglo completo. Este parche permite que los DCs protejan a los dispositivos, pero un segundo parche que se espera esté disponible en Q1 2021 refuerza el Remote Procedure Call (RCP) seguro con Netlogon para abordar este bug por completo. Después de aplicar este parche, aún necesitará realizar cambios a su DC. Microsoft publicó una guía para ayudar a los administradores a elegir la configuración correcta.”
Pero, si hay un parche, ¿por qué es esto tan importante?
Podría estar pensando, “Si hay un parche entonces esto no es un problema.” Pero la idea de “sólo ponerle un parche” no es tan fácil como suena – revise esta publicación (también de Dustin de la ZDI) para obtener más insights de las barreras que enfrentan los parches.
El tiempo promedio para colocar un parche (MTTP) es de 60 a 150 días. Este CVE fue publicado a principios de agosto, por lo que el tiempo promedio de implementación de este parche podría ser entre octubre de 2020 y enero de 2021.
Es posible que haya escuchado la broma de que después del martes de Parches viene el miércoles de Exploits. Esa es la forma cómica de sugerir que después de que un conjunto de parches para nuevos CVEs son lanzados el primer martes de cada mes por parte de Microsoft y Adobe, los atacantes se ponen a trabajar para revertir los parches y escribir exploits para aprovechar los bugs antes de que se apliquen los parches.
Dado el MTTP, esto significa que hay de 2 a 5 meses durante los cuales su organización se ve expuesta a una amenaza conocida.
Entonces, ¿qué puede hacer para proteger a su organización?
Afortunadamente, como cliente de Trend Micro, lo tenemos cubierto con el parcheo virtual. Esto ofrece una capa extra de seguridad para protegerlo contra las vulnerabilidades antes de que pueda aplicar el parche oficial del vendor. Como el nombre lo indica, es como un parche porque está protegiendo su ambiente específicamente en caso de que alguien intente utilizar la vulnerabilidad. Los parches virtuales pueden ser una red crítica de seguridad que le permitan parchar de forma que funcione para su organización.
Con Trend Micro, está protegido contra Zerlogon y miles de otras vulnerabilidades con el parcheo virtual como su recurso en su proceso de administración de parches. Porque lo protegemos más allá de este CVE.
Gracias a la ZDI, nuestros clientes están protegidos 81 días antes de que un vendor libere su parche (de acuerdo con datos del 2019). Se preguntará cómo es que esto es posible. Es muy sencillo: Cuando se presenta una vulnerabilidad ante la ZDI, nuestro equipo se pone a trabajar para añadir protección frente a la vulnerabilidad no parchada.
Para conocer más acerca de la protección de Trend Micro para CVE-2020-1472, lea nuestro artículo en nuestra base de conocimientos aquí.
Leave a Reply