Las 10 Principales Vulnerabilidades de Windows Server en 2021

2020-2021 fueron años inusualmente difíciles en el campo de la seguridad de la información. La pandemia aceleró el ritmo de descubrimiento de nuevas técnicas de ataque y la motivación del atacante fue alta debido al impacto potencial de cada ataque. Además, las metodologías de trabajo – que han cambiado – llevaron a la exposición de nuevas vulnerabilidades y un aumento en la superficie de ataque de la infraestructura de las organizaciones.

5 Razones por las que un Proyecto de Hardening Debe Ser Su Máxima Prioridad Este Año

Hemos recopilado algunas de las vulnerabilidades más críticas en 2020-2021:

Vulnerabilidad de Zerologon- CVE-2020-1472
Vulnerabilidad de DNS de Microsoft: CVE-2020-1350
Vulnerabilidad de elevación de privilegios de DirectX: CVE-2018-8554
Vulnerabilidad de ejecución remota de código de modelado de texto de Windows: CVE-2021-40465
Vulnerabilidad de suplantación de Windows CryptoAPI: CVE-2020-0601
Vulnerabilidad de elevación de privilegios de Windows Win32k: CVE-2021-1732
Vulnerabilidad de omisión de la característica de seguridad de inicio de sesión web de Azure AD: CVE-2021-27092
Vulnerabilidad de elevación de privilegios del servicio WLAN de Windows – CVE-2021-1646
Vulnerabilidad de omisión de la característica de seguridad de Kerberos KDC – CVE-2020-17049
Vulnerabilidad de suplantación de identidad de Windows: CVE-2020-16922

VULNERABILIDAD ZEROLOGON

CVE-2020-1472

Descubierto en agosto de 2020, Zerologon se clasificó como una vulnerabilidad crítica. Esta vulnerabilidad surge debido a una falla técnica en el esquema de autenticación criptográfica del Protocolo Remoto de Netlogon. Este protocolo es responsable de la autenticación de usuarios en redes basadas en dominios. Un atacante con acceso de un cliente puede cambiar correctamente la contraseña del controlador de dominio y controlar todos los servicios del Directorio Activo de la red del dominio.

Understanding Active Directory Security Principals

VULNERABILIDAD DEL SERVIDOR DNS DE MICROSOFT

CVE-2020-1350

Esta vulnerabilidad se encuentra en el binario dns.exe del DNS. dns.exe es responsable de procesar las consultas DNS para los servidores DNS de Windows. El ataque se basa en una técnica de "stack overflow" cuando el servidor DNS malintencionado envía grandes volúmenes de datos al servidor DNS de la víctima como respuesta SIG. El límite de tamaño de 4KB de un paquete UDP se anula enviando un indicador Truncar a través de UDP como encabezado de respuesta. Esto obliga al servidor de la víctima a esperar y escuchar los datos adicionales a través de una conexión TCP. De esta manera, el atacante puede enviar paquetes con un tamaño de más de 64 KB, lo que provoca que el stack se desborde. dns.exe lee estos datos adicionales que conducen a la explotación del código remoto.

Un atacante exitoso puede obtener acceso completo al Directorio Activo con privilegios de administrador y puede controlar todo el dominio de la red. Microsoft recomienda restringir el tamaño máximo de un paquete de respuesta DNS entrante basado en TCP al siguiente valor en el registry del sistema.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters

TcpReceivePacketSize

Valor = 0xFF00

VULNERABILIDAD ELEVACIÓN DE DE PRIVILEGIO DE DIRECTX

CVE-2018-8554

Se sabe que Microsoft DirectX contiene fallas. Una de ellas es el hecho de que no puede manejar correctamente los objetos de memoria. Un atacante puede usar una aplicación especialmente diseñada para aprovechar esta vulnerabilidad corrompiendo la memoria. Una vez que la memoria está dañada, el atacante puede ejecutar comandos remotos en el modo Kernel. La integridad, la confidencialidad y la disponibilidad del sistema de destino pueden ser secuestradas, ya que el atacante podría eliminar, instalar y modificar cualquier programa, así como las cuentas de usuario en el sistema.

VULNERABILIDAD DE EJECUCIÓN DE CÓDIGO REMOTO WINDOWS TEXT SHAPING

CVE-2021-40465

Windows Text Shaping no valida las entradas correctamente. Esto provoca una vulnerabilidad de ejecución remota de código, que permite al atacante enviar y ejecutar algunos códigos maliciosos hacia un servidor de Microsoft que es víctima. Esta vulnerabilidad existe en todas las versiones de los servidores de Windows desde 2008 hasta 2019. Un atacante puede comprometer todo el sistema debido a esta vulnerabilidad. El atacante no necesita acceso físico para explotar esta vulnerabilidad y puede explotarse de forma remota.

VULNERABILIDAD DE SPOOFING DE CRYPTOAPI EN WINDOWS

CVE-2020-0601

Windows CryptoAPI (crypt32.dll) no valida correctamente los certificados ECC. Esto puede hacer que otra vulnerabilidad de Windows Server sea relevante: la Criptografía de Curva Elíptica es una técnica criptográfica que utilizan los servidores de Windows para firmar los ejecutables. El atacante puede aprovechar esta vulnerabilidad y firmar los ejecutables maliciosos con un certificado ECC falsificado que muestra que está firmado por una fuente válida. El usuario confiará en el programa malicioso y lo ejecutará en su sistema cuando parezca firmado por una fuente legítima.

La explotación exitosa puede usarse para ejecutar programas maliciosos en el sistema de manera legítima, para realizar ataques Man-In-The-Middle y para descifrar los datos confidenciales del usuario que se envían a través de este programa malicioso.

VULNERABILIDAD ELEVACIÓN DE PRIVILEGIOS WINDOWS WIN32K

CVE-2021-1732

Existe un error en el controlador de gráficos de Windows “win32kfull!NtUserCreateWindowEx”. El campo WndExtra de una ventana se puede cambiar para que se trate como un desplazamiento en lugar de ser llenado por el valor de un atacante. Esto permite que el atacante obtenga permisos de escritura, lo que eventualmente aumenta el privilegio de un usuario normal a NT AUTHORITY\SYSTEM. El atacante puede entonces controlar todo el sistema.

VULNERABILIDAD PUENTEO DE LA FUNCIÓN DE SEGURIDAD DE INICIO DE SESIÓN EN LA WEB DE AZURE AD

CVE-2021-27092

Microsoft introdujo una nueva forma de iniciar sesión en PCs unidas al Directorio Activo de Azure, que desafortunadamente contiene un error. La vulnerabilidad existe en la forma como el inicio de sesión web de Azure Active Directory permite la exploración arbitraria desde los puntos de conexión de terceros utilizados para la autenticación federada. Permite que un atacante con acceso físico al dispositivo obtenga acceso no autorizado.

VULNERABILIDAD ELEVACIÓN DE PRIVILEGIO DEL SERVICIO WINDOWS WLAN

CVE-2021-1646

El servicio de configuración automática de WLAN (AutoConfig Service) en los servidores de Windows no tiene un sistema adecuado para la validación de entrada. Un atacante remoto desde dentro de la red local puede ejecutar perfectamente los códigos maliciosos arbitrarios en el sistema para obtener acceso completo al sistema. Esta vulnerabilidad existe en todos los servidores de Windows desde 2008 hasta 2019. Los atacantes no necesitan autenticación para aprovechar esta vulnerabilidad.

VULNERABILIDAD PUENTEO DE LA FUNCIÓN DE SEGURIDAD DE KERBEROS KDC

CVE-2020-17049

Esta vulnerabilidad existe en el protocolo de autenticación Kerberos. KDC no maneja adecuadamente los tickets de servicio. El atacante puede comprometer un servicio que está obligado a utilizar KCD (Delegación Restringida de Kerberos) y utilizarlo para moderar el ticket de servicio que inválido para la delegación. Luego obliga al KDC a aceptarlo. Esto permite que el atacante inicie sesión en el sistema como cualquier usuario, incluidos los usuarios del grupo de “usuarios protegidos”.

Kerberos Tickets and Authentication in Active Directory

VULNERABILIDAD DE WINDOWS SPOOFING

CVE-2020-16922

La validación incorrecta de firmas de archivos en el sistema operativo Windows conduce a la vulnerabilidad de suplantación (spoofing) en Windows. Después de la explotación exitosa de esta vulnerabilidad, el atacante podría eludir las funciones de seguridad y cargar archivos firmados incorrectamente. El atacante también podría falsificar el contenido de la página. Un atacante podría eludir los mecanismos de seguridad diseñados para evitar que se carguen archivos mal firmados en un escenario de ataque.

Mitigación

La mitigación de todas estas vulnerabilidades se puede manejar implementando dos controles básicos de seguridad de la información:

Fortalezca sus servidores: el hardening del servidor se refiere a cambiar la configuración predeterminada del servidor para minimizar la superficie de ataque de la organización. Los cambios de configuración generalmente se realizan en protocolos y servicios no seguros e innecesarios que a menudo exponen la red a vulnerabilidades.
Mantenga sus servidores actualizados a la última versión. Microsoft corrige la mayoría de las vulnerabilidades mediante sus servicio de Actualización de Servidores Windows (WSUS).

HERRAMIENTAS DE HARDENING 101 [ACTUALIZADO:2021]

Cookie	Duration	Description
cookielawinfo-checbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
PHPSESSID	session	This cookie is native to PHP applications. The cookie is used to store and identify a users' unique session ID for the purpose of managing user session on the website. The cookie is a session cookies and is deleted when all the browser windows are closed.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.
_GRECAPTCHA	5 months 27 days	This cookie is set by Google. In addition to certain standard Google cookies, reCAPTCHA sets a necessary cookie (_GRECAPTCHA) when executed for the purpose of providing its risk analysis.
__cfduid	1 month	The cookie is used by cdn services like CloudFare to identify individual clients behind a shared IP address and apply security settings on a per-client basis. It does not correspond to any user ID in the web application and does not store any personally identifiable information.

Cookie	Duration	Description
bcookie	2 years	This cookie is set by linkedIn. The purpose of the cookie is to enable LinkedIn functionalities on the page.
lang	session	This cookie is used to store the language preferences of a user to serve up content in that stored language the next time user visit the website.
lidc	1 day	This cookie is set by LinkedIn and used for routing.
__stidv	1 year	This cookie is used by ShareThis. This cookie is used for sharing the content from the website to social networks.

Cookie	Duration	Description
YSC	session	This cookies is set by Youtube and is used to track the views of embedded videos.
_gat	1 minute	This cookies is installed by Google Universal Analytics to throttle the request rate to limit the colllection of data on high traffic sites.

Cookie	Duration	Description
_ga	2 years	This cookie is installed by Google Analytics. The cookie is used to calculate visitor, session, campaign data and keep track of site usage for the site's analytics report. The cookies store information anonymously and assign a randomly generated number to identify unique visitors.
_gid	1 day	This cookie is installed by Google Analytics. The cookie is used to store information of how visitors use a website and helps in creating an analytics report of how the website is doing. The data collected including the number visitors, the source where they have come from, and the pages visted in an anonymous form.
__stid	1 year	The cookie is set by ShareThis. The cookie is used for site analytics to determine the pages visited, the amount of time spent, etc.

Cookie	Duration	Description
bscookie	2 years	This cookie is a browser ID cookie set by Linked share Buttons and ad tags.
IDE	1 year 24 days	Used by Google DoubleClick and stores information about how the user uses the website and any other advertisement before visiting the website. This is used to present users with ads that are relevant to them according to the user profile.
test_cookie	15 minutes	This cookie is set by doubleclick.net. The purpose of the cookie is to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	This cookie is set by Youtube. Used to track the information of the embedded YouTube videos on a website.