Microsoft ha publicado actualizaciones de seguridad para abordar una vulnerabilidad de omisión de la característica de seguridad de Kerberos que afecta a varias versiones de Windows Server en una implementación por etapas de dos fases.
La vulnerabilidad rastreada como CVE-2020-16996 es explotable de forma remota por atacantes con privilegios bajos como parte de ataques de baja complejidad donde no se requiere la interacción del usuario.
Afecta a los DC y RODC de Active Directory
CVE-2020-16996 existe en DC de Active Directory (controladores de dominio) y RODC (controladores de dominio de solo lectura) solo en servidores donde el grupo de seguridad global de usuarios protegidos está disponible y la delegación restringida basada en recursos (RBCD) está habilitada.
La vulnerabilidad afecta solo a las plataformas de servidor de Windows desde Windows Server 2012 hasta la última versión de Windows Server, versión 20H2 (instalación de Server Core).
El aviso de seguridad de Microsoft dice que no hay evidencia de explotación activa de este error de seguridad en la naturaleza o del código de explotación CVE-2020-16996 disponible públicamente.
Kerberos es el protocolo de autenticación predeterminado para dispositivos conectados al dominio que ejecutan Windows 2000 y posterior y permite la autenticación de usuarios, computadoras y servicios para que los servicios y usuarios autorizados puedan acceder a los recursos de manera segura.
Mitigación CVE-2020-16996
Los administradores deben tomar las siguientes medidas para la mitigación completa de CVE-2020-16996 para proteger su entorno empresarial de los ataques:
- Actualice todos los dispositivos que alojan la función de controlador de dominio de Active Directory instalando la actualización de Windows del 8 de diciembre de 2020 o una actualización posterior de Windows. Tenga en cuenta que la instalación de la actualización de Windows no mitiga completamente la vulnerabilidad de seguridad. Debe realizar el paso 2.
- Habilite el modo de aplicación en todos los controladores de dominio de Active Directory. A partir de la actualización del 9 de febrero de 2021, el modo de aplicación se puede habilitar en todos los controladores de dominio de Windows.
“La mitigación consiste en la instalación de las actualizaciones de Windows en todos los dispositivos que albergan la función de controlador de dominio de Active Directory y los controladores de dominio de solo lectura (RODC), y luego habilitar el modo de aplicación”, dice Microsoft.
En este aviso se encuentra disponible información adicional sobre cómo implementar estas actualizaciones de seguridad, incluidos detalles sobre las actualizaciones que deben instalarse antes de la instalación, el procedimiento de instalación y los problemas potenciales que pueden surgir.
Las actualizaciones de seguridad que abordan este error de omisión de seguridad de Kerberos se publican en dos fases:
- La fase de implementación inicial para las actualizaciones de Windows lanzadas a partir del 8 de diciembre de 2020.
- La fase de aplicación de las actualizaciones de Windows se lanzó a partir del 9 de febrero de 2021.
Problemas con correcciones de errores de omisión de seguridad de Kerberos anteriores
Microsoft también solucionó una vulnerabilidad similar (rastreada como CVE-2020-17049) durante el martes de parches de noviembre de 2020.
A diferencia de CVE-2020-16996, ese error fue mucho más difícil de explotar, ya que requería que los atacantes tuvieran altos privilegios administrativos para aprovecharlo con éxito en ataques de alta complejidad.
Las actualizaciones de seguridad CVE-2020-17049 causaron problemas de autenticación Kerberos en controladores de dominio empresarial parcheados, incluidos problemas de autenticación cuando se utilizan escenarios S4U y fallas de referencias entre dominios en dispositivos Windows y que no son de Windows para tickets de referencia Kerberos.
Una semana después del lanzamiento de las actualizaciones de seguridad, Microsoft lanzó actualizaciones opcionales fuera de banda para solucionar los problemas de autenticación de Kerberos en todas las versiones de Windows afectadas.
Microsoft también publicó una guía de parches con detalles adicionales sobre cómo mitigar por completo el error de seguridad de Kerberos CVE-2020-17049.
