¡Directorio activo vulnerable!
Microsoft ha lanzado parches de seguridad para una grave vulnerabilidad de escalamiento de privilegios que afecta a todas las versiones de su sistema operativo Windows para empresas lanzadas desde 2007. Los investigadores del especialista en cortafuegos Preempt descubrieron dos vulnerabilidades de día cero en los protocolos de seguridad de Windows NTLM, que permiten a los atacantes crear una nueva cuenta de administrador de dominio y obtener el control de todo el dominio.
NT LAN Manager (NTLM) es un antiguo protocolo de autenticación utilizado en redes que incluyen sistemas que ejecutan el sistema operativo Windows y sistemas autónomos. Aunque NTLM fue reemplazado por Kerberos en Windows 2000 que agrega mayor seguridad a los sistemas en una red, NTLM aún es compatible con Microsoft y sigue siendo ampliamente utilizado.
La primera vulnerabilidad involucra el Protocolo de acceso a directorios ligero (LDAP) no protegido del relé NTLM y el segundo modo RDP (Restricted-Admin) de protocolo de escritorio remoto. LDAP no protege adecuadamente contra los ataques de retransmisión NTLM, incluso cuando se ha incorporado en LDAP la medida defensiva, que sólo protege de los ataques de hombre en el medio (MitM) y no de reenvío de credenciales en absoluto. La vulnerabilidad podría permitir a un atacante con privilegios SYSTEM en un sistema de destino utilizar sesiones NTLM entrantes y realizar las operaciones LDAP, como actualizar objetos de dominio, en nombre del usuario NTLM.
"Para darnos cuenta de lo grave que es este problema, necesitamos hacer todos los protocolos de Windows utilizando la API de autenticación de Windows (SSPI) que permite la degradación de una sesión de autenticación a NTLM", dijo Yaron Zinar de Preempt en una entrada de blog, detallando la vulnerabilidad.
"Como resultado, cada conexión a una máquina infectada (SMB, WMI, SQL, HTTP) con un administrador de dominio resultaría en que el atacante creara una cuenta de administrador de dominio y obtendrá un control total sobre la red atacada".
Por lo tanto, sysadmins se recomienda para parchear sus servidores vulnerables con NT LAN Manager activado tan pronto como sea posible.
Puede considerar desactivar LAN LAN Manager o requerir que los paquetes entrantes LDAP y SMB se firmen digitalmente para evitar los ataques de relé de credenciales.
Además de esta falla de reenvío NTLM, Microsoft ha lanzado parches para 55 vulnerabilidades de seguridad, que incluyen 19 críticas, en varios de sus productos, incluyendo Edge, Internet Explorer, Windows, Office y Office Services y Web Apps, .NET Framework y Exchange Server.
Se recomienda encarecidamente a los usuarios de Windows que instalen las últimas actualizaciones lo antes posible para protegerse contra los ataques activos en la naturaleza.