Falla de diseño en Active Directory permitiría cambio de contraseña en Windows
La firma de seguridad israelí Aorato publicó en su blog y realizó una prueba de concepto que muestra cómo un atacante podría cambiar la contraseña de Windows. Microsoft sostiene que el tema es ampliamente conocido y que se han adoptado las medidas del caso.
Según Aorato, "Las terribles consecuencias de que un atacante puede cambiar la contraseña... definitivamente no era conocido", dijo Be'ery, un directivo de Aorato en una entrevista telefónica.
Desde Windows 2000 Microsoft recomienda el uso de Kerberos como protocolo de autenticación. La investigación de la compañía se centra en NTLM, el protocolo de autenticación que Microsoft ha estado tratando de eliminar gradualmente durante años. Por compatibilidad, todas las versiones de Windows utilizaban NTLM de forma predeterminada, y versiones más recientes de Windows son compatibles con él en combinación con su sucesor, Kerberos.
NTLM es vulnerable a un ataque de "Pass-the-Hash" (publicado originalmente por Paul Ashton en 1997) por el cual un atacante obtiene las credenciales de inicio de sesión para una computadora y puede utilizar la representación matemática de esas credenciales (hash), para acceder a otros servicios o equipos. Microsoft ha publicado recientemente un documento para mitigar estos ataques.
Aorato es una empresa fundada en 2011 por veteranos de la unidad tecnológica de las Fuerzas Armadas de Israel. Su negocio consiste en desarrollar y vender software que monitoriza el acceso a los componentes centrales de sistemas tecnológicos.
Aorato sostiene que un atacante puede obtener el valor hash NTLM utilizando herramientas públicas como WCE o Mimikatz y luego construyó una herramienta como prueba de concepto que muestra cómo los atacantes pueden cambiar la contraseña de un usuario de forma arbitraria y acceder a otros servicios como RDP, Outlook Web Access (OWA), etc.
Microsoft implementó Kerberos para alejarse de algunas de las cuestiones de seguridad de NTLM, pero Kerberos trabaja con RC4-HMAC para permitir la compatibilidad con sistemas antiguos. Aunque algunas empresas tratan de limitar el uso del protocolo NTLM en favor de Kerberos, un atacante puede forzar a un cliente para autenticarse sobre Active Directory usando el protocolo de cifrado más débil, RC4-HMAC. El hash NTLM entonces es aceptado por Kerberos, que emite un nuevo ticket de autenticación.
Be'ery dijo que "algunas rarezas en Active Directory pueden causar que se realice un downgrade a NTLM, que hace que sea más difícil a las organizaciones desactivarlo, por lo cual no es una solución práctica".
Por ejemplo, si una persona está tratando de acceder a un recurso de red utilizando su dirección IP en lugar de su nombre, Active Directory utilizará NTLM aún si la organización está en la última versión de Windows.
Es de destacar que Microsoft ya ha reconocido las debilidades en NTLM en un documento técnico de 2012 y revisado en 2014 [PDF]. En mayo y en julio, la compañía publicó actualizaciones para mejorar la protección y la administración de credenciales que incluía mejoras sobre la gestión de contraseñas Kerberos y NTLM (entre otras). Recientemente también publicó un aviso sobre las medidas necesarias par evitar el cambio de contraseñas en Kerberos mediante claves RC4. Recomendando el uso de tarjetas inteligentes, desactivar el soporte de RC4 para Kerberos en todos los controladores de dominio o implementar dominios Windows Server 2012 R3 y configurar los usuarios como miembros del grupo de Usuarios Protegidos.
Con todo esto el problema parece diluirse y ser mucho menor de lo que en principio pueda parecer. Este tipo de ataques estaría pensado para emplearse en combinación con otras vulnerabilidades o como parte de un ataque más avanzado. Como medidas para detectar este tipo de ataques se recomienda la monitorización del restablecimiento de contraseñas o el seguimiento de actividades
habituales de los usuarios para la detección de actividades extrañas.
Actualización: según publican varios medios financieros americanos, ahora Microsoft mantiene negociaciones para comprar la empresa isrealí Aorato. La operación podría ascender a unos 200 millones de dólares pero ninguna de las dos empresas ha confirmado ni desmentido la información.
Cristian de la Redacción de Segu-Info
Según Aorato, "Las terribles consecuencias de que un atacante puede cambiar la contraseña... definitivamente no era conocido", dijo Be'ery, un directivo de Aorato en una entrevista telefónica.
Desde Windows 2000 Microsoft recomienda el uso de Kerberos como protocolo de autenticación. La investigación de la compañía se centra en NTLM, el protocolo de autenticación que Microsoft ha estado tratando de eliminar gradualmente durante años. Por compatibilidad, todas las versiones de Windows utilizaban NTLM de forma predeterminada, y versiones más recientes de Windows son compatibles con él en combinación con su sucesor, Kerberos.
NTLM es vulnerable a un ataque de "Pass-the-Hash" (publicado originalmente por Paul Ashton en 1997) por el cual un atacante obtiene las credenciales de inicio de sesión para una computadora y puede utilizar la representación matemática de esas credenciales (hash), para acceder a otros servicios o equipos. Microsoft ha publicado recientemente un documento para mitigar estos ataques.
Aorato es una empresa fundada en 2011 por veteranos de la unidad tecnológica de las Fuerzas Armadas de Israel. Su negocio consiste en desarrollar y vender software que monitoriza el acceso a los componentes centrales de sistemas tecnológicos.
Aorato sostiene que un atacante puede obtener el valor hash NTLM utilizando herramientas públicas como WCE o Mimikatz y luego construyó una herramienta como prueba de concepto que muestra cómo los atacantes pueden cambiar la contraseña de un usuario de forma arbitraria y acceder a otros servicios como RDP, Outlook Web Access (OWA), etc.
Microsoft implementó Kerberos para alejarse de algunas de las cuestiones de seguridad de NTLM, pero Kerberos trabaja con RC4-HMAC para permitir la compatibilidad con sistemas antiguos. Aunque algunas empresas tratan de limitar el uso del protocolo NTLM en favor de Kerberos, un atacante puede forzar a un cliente para autenticarse sobre Active Directory usando el protocolo de cifrado más débil, RC4-HMAC. El hash NTLM entonces es aceptado por Kerberos, que emite un nuevo ticket de autenticación.
Be'ery dijo que "algunas rarezas en Active Directory pueden causar que se realice un downgrade a NTLM, que hace que sea más difícil a las organizaciones desactivarlo, por lo cual no es una solución práctica".
Por ejemplo, si una persona está tratando de acceder a un recurso de red utilizando su dirección IP en lugar de su nombre, Active Directory utilizará NTLM aún si la organización está en la última versión de Windows.
Es de destacar que Microsoft ya ha reconocido las debilidades en NTLM en un documento técnico de 2012 y revisado en 2014 [PDF]. En mayo y en julio, la compañía publicó actualizaciones para mejorar la protección y la administración de credenciales que incluía mejoras sobre la gestión de contraseñas Kerberos y NTLM (entre otras). Recientemente también publicó un aviso sobre las medidas necesarias par evitar el cambio de contraseñas en Kerberos mediante claves RC4. Recomendando el uso de tarjetas inteligentes, desactivar el soporte de RC4 para Kerberos en todos los controladores de dominio o implementar dominios Windows Server 2012 R3 y configurar los usuarios como miembros del grupo de Usuarios Protegidos.
Con todo esto el problema parece diluirse y ser mucho menor de lo que en principio pueda parecer. Este tipo de ataques estaría pensado para emplearse en combinación con otras vulnerabilidades o como parte de un ataque más avanzado. Como medidas para detectar este tipo de ataques se recomienda la monitorización del restablecimiento de contraseñas o el seguimiento de actividades
habituales de los usuarios para la detección de actividades extrañas.
Actualización: según publican varios medios financieros americanos, ahora Microsoft mantiene negociaciones para comprar la empresa isrealí Aorato. La operación podría ascender a unos 200 millones de dólares pero ninguna de las dos empresas ha confirmado ni desmentido la información.
Cristian de la Redacción de Segu-Info
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!