Instituto Nacional de ciberseguridad. Sección Incibe
Protege tu empresa. Sección empresas

Vulnerabilidad crítica del protocolo NetLogon en las versiones Windows Server

Fecha de publicación 16/09/2020
Importancia
5 - Crítica
Recursos Afectados

Todas las versiones de Windows Server configuradas como Controlador de Dominio (DC) con Active Directory (AD).

  • Microsoft Windows Server 2008 R2:
    • Sistemas de 64 bits Service Pack 1 y Server Core installation.
  • Microsoft Windows Server:
    • 2012.
    • 2012 Server Core installation.
    • 2012 R2.
    • 2012 R2 Server Core installation.
    • 2016.
    • 2016 Server Core installation.
    • 2019.
    • 2019 Server Core installation.
    • 1903, 1904, 2004 Server Core installation.
Descripción

Microsoft ha publicado un aviso de seguridad informando sobre una vulnerabilidad conocida como “ZeroLogon” que afecta al protocolo NetLogon que se usa en todos los controladores de dominio que tienen implementado el servicio de directorio activo (Active Directory).

Dicha vulnerabilidad, si fuera explotada con éxito, podría permitir a un atacante remoto tomar el control de todos los equipos de la red comprometida, al usurpar las credenciales (usuario y contraseña) del administrador del sistema o dominio y poder modificar las contraseñas del resto de los usuarios del controlador de dominio a su antojo.

Solución

Microsoft ha publicado un parche para todas las versiones afectadas. No obstante también recomienda permanecer atento a la siguiente actualización en el primer cuatrimestre de 2021, donde se publicará la segunda fase de la misma para dar tiempo a todos los dispositivos no compatibles con el forzado de NRPC (NetLogon Remote Protocol) a recibir sus respectivas actualizaciones.

Se recomienda encarecidamente la aplicación del parche para corregir esta vulnerabilidad.

Recuerda la importancia de mantener tus sistemas y aplicaciones siempre actualizados:

¿Te gustaría estar a la última con la información de nuestros avisos? Anímate y suscríbete a nuestros boletines, al canal de Telegram @ProtegeTuEmpresa, al perfil de twitter @ProtegeEmpresa o síguenos en Facebook. Serás el primero en enterarte de los últimos avisos de seguridad para empresas. También ponemos a tu disposición una línea gratuita de ayuda en ciberseguridad de INCIBE: 017.

Detalle

Logo de Windows

La vulnerabilidad detectada, conocida como Zerologon, permitiría a un atacante que explotara con éxito la misma tomar el control de la red mediante la ejecución de una aplicación especialmente desarrollada para dicho fin en alguno de los dispositivos pertenecientes a la red comprometida.

La vulnerabilidad puede corregirse mediante la aplicación del parche específico creado para tal fin o mediante la actualización mensual de seguridad que lanza Microsoft, accediendo a este enlace:

Y seleccionando la versión correcta del sistema y el tipo de solución a aplicar.

Tu soporte tecnológico puede consultar una solución más técnica en el área de avisos de INCIBE CERT.

Línea de ayuda en ciberseguridad 017