Noticias
Zerologon sigue al alza, ¿tenemos lo que nos merecemos?
Leo sobre Zerologon y, una vez más, llego a la conclusión de que tener fe en el ser humano es una tarea la mar de complicada. Y sí, lo sé, obviamente hay de todo, como en botica, y normalmente lo malo llama mucho la atención, mientras que lo bueno suele pasar desapercibido. Esto es algo inherente al ser humano y que hay que tener en cuenta, pero tras esta aclaración, lo que también resulta innegable es que en bastantes ocasiones son muchos los que hacen méritos para un buen tirón de orejas.
Comento esto porque acabo de leer en el blog de Talos Intelligence, la división de ciberseguridad de Cisco, que en los últimos días los intentos de abuso de Zerologon no han dejado de crecer. Hace alrededor de semana y media que saltaron las alertas sobre el problema de seguridad que afecta a Netlogon y los enormes riesgos que plantea. Por recordarlo, en la clasificación de seguridad que hace Microsoft sobre este tipo de amenazas, a Zerologon le concedió un 10. Y porque no existe la matrícula de (des)honor, que en caso contrario también la habría recibido.
La buena noticia es que aunque Zerologon ya había sido identificado anteriormente por investigadores de seguridad, estos reportaron el problema a Microsoft y trabajaron con los de Redmond para identificar una solución. Así, el común de los mortales recibimos simultáneamente las primeras noticias sobre el problema de seguridad de Netlogon y las instrucciones para securizar las instalaciones de Windows Server.
Poco después, hemos ido sabiendo de otras aplicaciones que también se ven afectadas por Zerologon, como por ejemplo Samba si se emplea como controlador principal de dominio. ¿Por qué? En realidad la respuesta es muy, muy sencilla, porque también se apoya en Netlogon para los inicios de sesión de los usuarios. Esto, obviamente, nos recuerda que deberíamos revisar no solo las instalaciones de Windows Server, no, sino también las de cualquier otro software de red que estemos empleando y que se apoye en Netlogon.
Como ya comentaba antes, desde finales de la semana antepasada se sabe cómo evitar este problema, simplemente es necesario realizar una pequeña modificación en un archivo de configuración (bueno, en un archivo por cada dominio gestionado). Microsoft publicó un workaround para mitigar el problema, y se espera que en el primer trimestre de 2021 publique una actualización que solucione, de manera definitiva, el problema de Netlogon.
No es, y lo repito, un problema baladí, Zerologon compromete la seguridad de todo el dominio, puesto que permite a un atacante hacerse con un acceso de administrador a su gestión. Y, sin embargo, como comentaba al principio, Talos Intelligence habla de que el abuso de esta vulnerabilidad no ha parado de crecer. Y aunque no he visto más datos al respecto, apuesto a que otras redes de sensores de servicios de ciberseguridad están detectando exactamente lo mismo.
El lunes de la semana pasada, todas las agencias federales de Estados Unidos estaban obligadas a parchear sus instalaciones de Windows Server para hacerlas inmunes a Zerologon, pero es que la orden no terminaba ahí: si por cualquier razón no era posible, debían «apagar» esos sistemas. O seguro o apagado, sin margen para que los ciberdelincuentes pudieran explotar la vulnerabilidad. Y sé que puede parecer extremo, pero lo confieso, no podría estar más de acuerdo con esa medida. Y es que si no puedes garantizar la seguridad de tus activos digitales, tu infraestructura es, como decían U2, an accident waiting to happen.
Quiero y no quiero saber la cantidad de servidores con Windows Server que, a día de hoy, todavía no han sido parcheados para blindarse ante Zerologon. Quiero saberlo porque es un indicador muy importante de cuál ha sido la respuesta global por parte de la comunidad de IT ante esta nueva amenaza. Y no quiero saberlo porque temo que me servirá para profundizar en la falta de fe en el ser humano.