Vulnerabilidad crítica en Windows Server (septiembre 2020)
Se ha descubierto una vulnerabilidad, publicada por Microsoft en el boletín de seguridad CVE-2020-1472, que afecta a cualquier servidor de la familia Microsoft Windows Server, y que podría permitir la toma de control de cualquier controlador de dominio en una red.
En otras ocasiones algunas vulnerabilidades no tienen mayor relevancia, o son muy complicadas de explotar, por lo que son más teóricas o de laboratorio. Sin embargo, esta es especialmente grave, pues permitiría a un atacante con acceso directo a la red del servidor ejecutar como administrador un cambio de contraseña a cualquier usuario, robando así credenciales y pudiendo tomar control total de toda la red, archivos, etc. Esto abre la puerta a que se vuelva a extender en breve una nueva oleada de ataques Ransomware cuya entrada sea tan sencilla como la ejecución por cualquier equipo de una red.
Esto cobra mayor dificultad de control en los tiempos actuales donde muchas empresas están implantando el teletrabajo, y por tanto, muchos trabajadores están conectados a la VPN de la empresa con equipos desde sus casas, lo cual hace aun más complicado controlar estos riesgos.
Afortunadamente, la solución pasa por tener actualizados los servidores, concretamente con parches de seguridad que varían desde las versiones de Windows Server 2008 R2 en adelante, pero que fueron publicados en la primera quincena de agosto de 2020.
Desde Evotec nos tomamos muy en serio la seguridad, y especialmente la aplicación de parches críticos de forma inmediata en todos los servidores, y hemos podido comprobar que ya están todos aplicados en las versiones de Windows Server donde se pueden aplicar, y esto lo hacemos gracias al uso del servidor de despliegue centralizado de parches, WSUS que utilizamos desde hace más de 10 años.
Esto nos hace recordar e insistir en la importancia en cualquier empresa de siempre actualizar las versiones de sistemas operativos a aquellas que sigan teniendo soporte. En este caso Microsoft afortunadamente ha sacado este parche tan crítico para la versión Windows Server 2008 R2 pese a que en realidad dejó de tener soporte en enero de 2020. Sin embargo, cualquier empresa que tenga un controlador de dominio con una versión inferior probablemente se vea afectado por este problema.
Para mitigar estos casos, o cuando no queda más remedio que mantener versiones antiguas por requisitos de algún programa siempre proponemos montar entornos aislados, con un firewall que minimice la superficie de ataque, o en dominios separados para que en caso de sufrir un ataque, el afectado sea únicamente el servidor obsoleto.
Referencias y más información:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1472