“Zerologon” y el valor del parcheo virtual/ de los parches virtuales/Virtual patching

Un nuevo CVE, lanzado recientemente, ha aparecido en algunos titulares - CVE-2020-1472. Zerologon, como se llama, puede permitir a un atacante aprovechar el algoritmo criptográfico utilizado en el proceso de autenticación de Netlogon y suplantar la identidad de cualquier ordenador al intentar autenticarse contra el controlador de dominio.

Para decirlo de forma más sencilla, esta vulnerabilidad en el Protocolo Remoto de Netlogon (MS-NRPC) podría permitir a los atacantes ejecutar sus aplicaciones en un dispositivo en la red. Un atacante no autenticado usaría el MS-NRPC para conectarse a un Controlador de Dominio (DC) para obtener acceso administrativo.

Según Dustin Childs, con nuestra Zero Day Initiative (ZDI), "Lo que es peor es que no hay una solución completa disponible. Este parche permite a los DC proteger los dispositivos, pero un segundo parche actualmente programado para el primer trimestre de 2021 impone una Llamada de Procedimiento Remoto (RPC) segura con Netlogon para abordar completamente este fallo. Después de aplicar este parche, aún deberá hacer cambios en su DC. Microsoft publicó unas directrices para ayudar a los administradores a elegir la configuración correcta".

Pero si hay un parche, ¿por qué es tan importante?

Podría estar pensando, "Bueno, si hay un parche, esto realmente no es un problema". Pero la idea de "simplemente parchearlo" no es tan fácil como parece - consulte este post (también de Dustin con ZDI) para más información sobre las barreras para parchear.

El tiempo medio de aplicación del parche (MTTP) es de 60 a 150 días. Este CVE se publicó a principios de agosto, por lo que situaría el tiempo medio para desplegar este parche entre octubre de 2020 y enero de 2021.

Tal vez haya escuchado el chiste de la industria de seguridad de que después del Patch Tuesday viene el Exploit Wednesday. Esa es la forma cómica de sugerir que después de que un lote de parches para nuevos CVE son liberados el primer martes de cada mes para Microsoft y Adobe, los atacantes se ponen a trabajar para revertir los parches para escribir exploits y aprovechar los errores antes de que los parches hayan sido aplicados.

Dado MTTP, son de 2 a 5 meses en los que su organización queda expuesta a una amenaza conocida.

Entonces, ¿qué puedo hacer para proteger mi organización?

Afortunadamente, como cliente de Trend Micro, está cubierto gracias a los parches virtuales. Esto proporciona una capa adicional de seguridad para proteger contra vulnerabilidades antes de aplicar el parche oficial del proveedor. Como su nombre indica, es como un parche porque protege específicamente su entorno en caso de que alguien intente explotar esa vulnerabilidad.

El parcheo virtual puede ser una red de seguridad fundamental para permitirle aplicar los parches de la manera en que funcione su organización.

Con Trend Micro, está protegido de Zerologon y de miles de otras vulnerabilidades con la aplicación de parches virtuales para respaldarle como parte de su proceso de gestión de parches. Porque le protegemos más allá de este CVE.

Gracias a ZDI, nuestros clientes están protegidos 81 días antes de que el proveedor publique un parche (datos de 2019). ¿Cómo es eso posible?, se preguntará. Es muy simple: Cuando se envía una vulnerabilidad al ZDI, nuestro equipo se pone a trabajar para añadir protección contra esa vulnerabilidad no parcheada.

Para obtener más información sobre la protección de Trend Micro para CVE-2020-1472, lea nuestro artículo aquí.

[ EN version: https://www.trendmicro.com/en_us/research/20/i/zerologon-and-value-of-virtual-patching.html ]