Nuevos requisitos del 2020 para Windows: enlace de canal LDAP y firma LDAP

Se aplica a: Windows 10, version 1909, all editionsWindows 10, version 1903, all editionsWindows 10, version 1809, all editions

Resumen


El enlace de canal LDAP y la firma LDAP son formas de aumentar la seguridad de las comunicaciones de red entre los servicios de dominio de Active Directory (AD DS) o Active Directory Lightweight Directory Services (AD LDS) y sus clientes. Existe una vulnerabilidad en la configuración predeterminada del enlace de canal del protocolo ligero de acceso a directorios (LDAP) y de la firma LDAP que puede exponer los controladores de dominio de Active Directory a una vulnerabilidades de elevación de privilegios.  El aviso de seguridad de Microsoft ADV190023 aborda el problema recomendando a los administradores que habiliten el enlace de canal LDAP y la firma LDAP en los controladores de dominio de Active Directory. Esta protección deberá aplicarse manualmente hasta el lanzamiento de la actualización de seguridad que habilitará la configuración de forma predeterminada. 

Microsoft lanzará una actualización de seguridad en Windows Update para habilitar los cambios de protección del enlace de canal LDAP y de la firma LDAP . Se estima que la actualización estará disponible en marzo de 2020.

Razones por las que se necesita este cambio


Microsoft recomienda a los administradores aplicar los cambios de protección que se describen en ADV190023 ya que, con la configuración predeterminada, existe una vulnerabilidad de elevación de privilegios en Microsoft Windows que podría permitir que un intruso que realizara un ataque de tipo "Man in the middle" reenviara correctamente una solicitud de autenticación a un servidor LDAP de Windows (como un sistema que ejecute AD DS o AD LDS) que no exija la firma o el sellado de las conexiones entrantes debido a su configuración.  Para mejorar significativamente la seguridad de un servidor de directorios, se puede configurar el servidor para que rechace enlaces LDAP de nivel de seguridad y autenticación simples (SASL) que no soliciten la firma (verificación de integridad) o para para que rechace enlaces simples LDAP que se realicen mediante una conexión de texto no cifrado (es decir, texto que no esté cifrado con SSL o TLS). Los SASL incluyen protocolos como Negotiate, Kerberos, NTLM y Digest. El tráfico de red sin firmar es vulnerable a ataques de reproducción en los que un intruso intercepta el intento de autenticación y la emisión de un vale. El intruso puede reutilizar el vale para hacerse pasar por el usuario legítimo. Además, el tráfico de red sin firmar es vulnerable ante los ataques de tipo "Man in the middle" en los que un intruso captura los paquetes entre el cliente y el servidor, los cambia y los reenvía al servidor. Si esto ocurre en un servidor LDAP, el atacante puede hacer que el servidor tome decisiones basadas en solicitudes manipuladas del cliente LDAP.

Acciones recomendadas


Recomendamos encarecidamente a los administradores que habiliten el enlace de canal LDAP y la firma LDAP antes de marzo de 2020 para buscar y corregir cualquier problema de compatibilidad de sistemas operativos, aplicaciones o dispositivos intermedios en su entorno.  Si se encuentra algún problema de compatibilidad, los administradores deberán ponerse en contacto con el fabricante del sistema operativo, aplicación o dispositivo en cuestión para obtener soporte técnico.

Importante Cualquier versión del sistema operativo, aplicación o dispositivo intermedio que inspeccione el tráfico LDAP para detectar ataques de tipo "Man in the middle" tendrá mas posibilidades de verse afectado por este cambio de protección.

Programación de la actualización de seguridad


Para habilitar el enlace de canal LDAP y la compatibilidad con la firma LDAP, Microsoft seguirá el siguiente programa. Tenga en cuenta que la escala de tiempo que aparece a continuación está sujeta a cambios. Actualizaremos esta página cuando comience el proceso y según sea necesario.

Fecha de destino

Evento

Se aplica a

martes, 13 de agosto de 2019

Tomar medidas: Se publicó el aviso de seguridad de Microsoft ADV190023, para introducir el enlace de canal LDAP y la compatibilidad con la firma LDAP. Los administradores tendrán que probar esta configuración en su entorno después de ajustarla manualmente en sus servidores.

Windows Server 2008 SP2,
Windows 7 SP1,

Windows Server 2008 R2 SP1, 
Windows Server 2012,

Windows 8.1,
Windows Server 2012 R2,
Windows 10 1507,
Windows Server 2016,
Windows 10 1607,
Windows 10 1703,
Windows 10 1709,
Windows 10 1803,
Windows 10 1809,
Windows Server 2019,

Windows 10 1903,
Windows 10 1909

Marzo de 2020

Necesario: Actualización de seguridad disponible en Windows Update para todas las plataformas de Windows compatibles que habilitarán de forma predeterminada el enlace de canal LDAP y la firma LDAP en servidores de Active Directory.

Windows Server 2008 SP2,
Windows 7 SP1,

Windows Server 2008 R2 SP1,
Windows Server 2012,

Windows 8.1,
Windows Server 2012 R2,
Windows 10 1507,
Windows Server 2016,
Windows 10 1607,
Windows 10 1703,
Windows 10 1709,
Windows 10 1803,
Windows 10 1809,
Windows Server 2019,

Windows 10 1903,
Windows 10 1909