Fuga de información en servidores IIS con autenticación NTLM

Justin Cacak de Gotham Digital Science ha publicado un Script NSE para nmap mediante el cual es posible obtener información de la infraestructura que se encuentra tras un servidor web IIS con la autenticación NTLM activada.

La información es tan suculenta que permite obtener datos como los siguientes:

• Nombre del sistema
• Nombre de dominio NetBIOS
• Nombre DNS del sistema
• Árbol DNS
• Versión del sistema operativo

Esta información se obtiene gracias a enviar una petición de autenticación NTLM con credenciales nulas (a través de la cabecera Authorization). El servidor como respuesta enviará un mensaje NTLMSSP cuyo contenido incluye la información de la infraestructura que comentamos anteriormente.
Según comenta el propio Justin en el post, la única manera de evitar mostrar esta información sería... deshabilitar la autenticación NTLM por HTTP, algo bastante complicado. Por ser un problema de diseño, hasta el momento no se conoce ninguna manera de mitigar esta fuga de información en servidores IIS.

Utilizando Shodan se puede cuantifica el número de servidores IIS que utilizan autenticación NTLM sobre HTTP y HTTPS.

El script fue enviado a la lista de desarrollo de nmap el pasado 4 de febrero, y no se descarte que forme parte del conjunto por defecto de scripts que se distribuyen con la propia herramienta. Podéis acceder al código fuente del script en .NSE en esta dirección.

Fuente: Security by Default