La compañía de seguridad Aorato ha anunciado una vulnerabilidad en Directorio Activo que podría permitir a un atacante cambiar la contraseña de un usuario y acceder a todos sus recursos. El problema, tal y como ha confirmado Microsoft, no es nuevo. Es algo que ya se sabía desde hace tiempo y que incluso ya existen medidas para evitar esta debilidad.
Una vez más sale a la luz un problema ya conocido como algo novedoso.La vulnerabilidad según describe la compañía se centra en el protocolo de autenticación NTLM. Un protocolo conocido desde hace años por su debilidad, así que realmente el anuncio aporta pocas novedades.
NTLM es un protocolo de autenticación basado en un intercambio desafío-respuesta, usado por Microsoft desde hace muchos años. Sirve para autenticar a un ordenador que quiere, por ejemplo, acceder a una unidad compartida de una red en otro sistema, sin que la contraseña viaje en texto claro.
Desde Windows 2000 Microsoft recomienda el uso de Kerberos como protocolo de autenticación. Sin embargo se mantiene la compatibilidad con NTLM «por aquello» de la compatibilidad hacia atrás.
Aorato ha publicado una prueba de concepto en forma de ataque basado en la técnica «pass-the-hass«, ya conocida desde hace años (fue publicada originalmente por Paul Ashton en 1997 ). Primeramente emplea una herramienta de pruebas de penetración (como Mimikatz o Windows Credential Editor) para conseguir el hash NTLM.
Mientras que habitualmente un hash NTLM solo podía emplearse para autenticarse en el sistema del usuario o en la red como el usuario víctima. Aorato dice que su ataque puede emplearse para bajar el nivel de autenticación de Kerberos. Es decir, hace que Kerberos pase de usar cifrados más seguros a degradar la creación de tickets usando RC4-HMAC y, atención, usando el hash NTLM como clave crear un ticket válido y hacerse pasar por el usuario en el directorio activo.
Aunque la configuración recomendada obliga a usar Kerberos en vez de NTLM, un atacante puede forzar al cliente a autenticarse en el Directorio Activo mediante RC4-HMAC, un protocolo de cifrado más débil (que de nuevo se mantiene para permitir la compatibilidad con sistemas antiguos). Con ello Kerberos acepta el hash NTLM y emite un nuevo ticket de autenticación.
Las debilidades de NTLM ya estaban reconocidas en un documento de Microsoft de 2012 (y revisado en 2014). En mayo y en julio, la compañía publicó actualizaciones para mejorar la protección y la administración de credenciales que incluía mejoras sobre la gestión de contraseñas Kerberos y NTLM (entre otras). Recientemente también publicó un aviso sobre las medidas necesarias par evitar el cambio de contraseñas en Kerberos mediante claves RC4. Recomendando el uso de tarjetas inteligentes, desactivar el soporte de RC4 para Kerberos en todos los controladores de dominio o implementar dominios Windows Server 2012 R3 y configurar los usuarios como miembros del grupo de Usuarios Protegidos.
Con todo esto el problema parece diluirse y ser mucho menor de lo que en principio pueda parecer. Para empezar el atacante debe tener acceso a la máquina de la víctima para conseguir el hash NTLM. De esta forma, este tipo de ataques estaría pensado para emplearse en combinación con otras vulnerabilidades o como parte de un ataque más avanzado. Como medidas para detectar este tipo de ataques se recomienda la monitorización del restablecimiento de contraseñas o el seguimiento de actividades habituales de los usuarios para la detección de actividades extrañas.
Por último, y por añadir otro componente a la información, según ha revelado The Wall Street Journal, la firma de Redmond está actualmente en conversaciones con Aorato para adquirirla por en torno a 148 millones de euros. Según la publicación el acuerdo puede cerrarse en los próximos dos meses.
Más información:
Active Directory Vulnerability Disclosure: Weak encryption enables attacker to change a victim’s password without being logged
Mitigating Pass-the-Hash (PtH) Attacks and Other Credential Theft, Version 2
NT «Pass the Hash» with Modified SMB Client Vulnerability
Aviso de seguridad de Microsoft: Actualización para mejorar la administración y protección de credenciales: 13 de mayo de 2014
Preventing Kerberos change password using RC4 secret keys
Microsoft in Talks to Buy Israeli Cybersecurity Firm Aorato
una-al-dia (28/04/2008) Mitos y leyendas: Las contraseñas en Windows IV (Redes)
una-al-dia (01/12/2008) ¿Es cierto que Microsoft ha corregido ahora una vulnerabilidad de hace siete años? (I)
una-al-dia (01/12/2008) ¿Es cierto que Microsoft ha corregido ahora una vulnerabilidad de hace siete años? (y II)
una-al-dia (31/08/2009) Mitos y leyendas: El Directorio Activo (V) (Métodos para la restauración de datos replicados)
una-al-dia (26/07/2009) Mitos y leyendas: El Directorio Activo (IV) (La consola de recuperación)
una-al-dia (11/07/2009) Mitos y leyendas: El Directorio Activo (III) (Última configuración buena conocida)
una-al-dia (06/07/2009) Mitos y leyendas: El Directorio Activo (II) (Instalación segura)
una-al-dia (25/06/2009) Mitos y leyendas: El Directorio Activo (I) (Conceptos)
Antonio Ropero
Twitter: @aropero
Deja una respuesta