La grave vulnerabilidad de ZeroLogon (CVE-2020-1472) ya tiene PoC (Prueba de concepto) y exploit público funcionando y es muy peligrosa. Permite obtener permisos de administrador en un DC. Vulnerabiliad con puntuación CVSS de 10 sobre 10. El fallo se solucionó en las actualizaciones de seguridad de Microsoft de agosto de 2020. Sin embargo, esta semana se lanzaron al menos cuatro exploits PoC públicos para el fallo en Github, y además,, los investigadores de Secura (que descubrieron originalmente la vulnerabilidad) publicaron detalles técnicos
Comentarios
#2 No solo es aplicar el parche para dejar de ser vulnerable. Hay que aplicar una clave en el registro que puede afectar a la autenticación de clientes no-Windows.
#4 Porque vas a obligar a todos los clientes a establecer un canal seguro (es lo que hace tocar ese valor en el registro). Y sí, habrá por ahí algún sistema muy legacy que no lo soporte pero en principio yo creo que cualquier S.O. de los ultimos años tiene la opción de funcionar así.
#5 Pero es que eso no va a ser cosa del admin de windows. Eso como mucho le tocará a los que desarrollen la aplicación cambiar un par de cosas para que funcione con canal seguro o en el peor de los casos remplazar la implementación que tengan de smb por una segura.
#5 no soy admin de windows, pero se como son estas cosas el diablo esta en los detalles. Me juego contigo una birra a que hay muchas aplicaciones que tiran de autenticación que cascaran.
Y eso si lo tienen actualizadito todo que hay mucha gente que no instala ni un maldito parche.
Toneladas de mierda para los administradores de redes Windows. Mi solidaridad..
#1 Hombre es meter un parche tampoco se van a herniar.
#2 el parche no estaba del todo "conseguido" por lo que van a ser unos cuantos y mientras tanto todos sabemos que no es tan fácil actualizar servidores en producción.
https://www.zdnet.com/article/zerologon-attack-lets-hackers-take-over-enterprise-networks/
#3 A ver los controladores de dominio son algo que es especialmente facil de actualizar porque es muy común tener PDC y BDC. Haces uno y luego haces otro y no tienes downtime de ningún tipo.
Y el parche que sacaron bloquea la explotación de la vulnerabilidad que ya es algo, y si va a dar guerra este parche o alguno futuro relacionado con esto será porque se estén iniciando logins desde equipos super antiguos que tampoco es algo que sea responsabilidad del admin de windows.