Zerologon - CVE-2020-1472

Zerologon es una vulnerabilidad crítica (CVE-2020-1472) en el protocolo Netlogon de Windows. Afecta a los controladores de dominio y permite a un atacante no autenticado comprometer todo el dominio de Active Directory. La vulnerabilidad reside en la implementación incorrecta de un algoritmo criptográfico utilizado por el protocolo Netlogon. Esto permite a los atacantes falsificar la identidad de cualquier máquina en la red, incluyendo el controlador de dominio, y obtener privilegios de administrador de dominio. Es una vulnerabilidad de alto riesgo que requiere una atención inmediata y parches, ya que su explotación puede comprometer toda la infraestructura de Active Directory.

Vamos a iniciar realizando un escaneo utilizando nuestro túnel de SSH dinamico sobre el servidor:

Un parámetro interesante de Nmap es el siguiente que nos va a permitir identificar información como el hostname del equipo auditado:

Basado en la versión del Windows, vamos a utilizar el siguiente exploit para intentar validar si este equipo es vulnerable a ZeroLogon.

La vulnerabilidad ZeroLogon (CVE-2020-1472) es considerada muy peligrosa debido a su potencial para permitir a un atacante obtener acceso de forma no autorizada a un controlador de dominio de Windows y comprometer todo el entorno de Active Directory. Esta vulnerabilidad fue descubierta en 2020 y afecta a los sistemas operativos Windows Server que ejecutan el servicio Netlogon.

Las razones por las cuales esta vulnerabilidad es considerada peligrosa son las siguientes:

• Escalada de privilegios: ZeroLogon permite a un atacante autenticarse en un controlador de dominio con una cuenta de usuario no privilegiada y, a partir de ahí, obtener acceso privilegiado a nivel de administrador de dominio. Esto puede permitir al atacante realizar cambios en las políticas de seguridad, obtener acceso a datos confidenciales y comprometer el entorno de Active Directory.

• Rápida propagación: Una vez que un atacante obtiene acceso de administrador de dominio a través de ZeroLogon, puede propagar rápidamente su control y afectar múltiples sistemas dentro del entorno de Active Directory. Esto significa que el impacto potencial puede ser amplio y afectar a múltiples usuarios y recursos en la red.

• Ataques sin autenticación: ZeroLogon no requiere autenticación para explotar la vulnerabilidad, lo que la hace aún más peligrosa. Un atacante puede explotarla sin necesidad de proporcionar credenciales válidas, lo que reduce la barrera de entrada para llevar a cabo ataques exitosos.

• Exposición de credenciales: Al comprometer un controlador de dominio, un atacante podría obtener acceso a credenciales almacenadas en el sistema, lo que le permitiría moverse lateralmente en la red y comprometer otros sistemas.

Dada la gravedad de esta vulnerabilidad, se recomienda a los administradores de sistemas y organizaciones aplicar rápidamente los parches y las medidas de mitigación proporcionadas por Microsoft para evitar su explotación. Además, es fundamental mantener los sistemas actualizados y seguir buenas prácticas de seguridad, como la implementación de controles de acceso adecuados y la monitorización proactiva de la red para detectar y responder a posibles intentos de explotación.

Vamos a clonar el repositorio:

Procedemos con la instalación de los requerimientos de la herramienta:

Este ataque debe ser realizado sobre el proxychains y la sintaxis del comando final basado en la documentación del script de Python seria:

Al parecer si es vulnerable, así que tendríamos que realizar una extracción de hashes por medio de impacket-secretsdump:

El ataque fue efectivo así que hemos logrado obtener los hashes de todos los usuarios del dominio.