Denominadas noPac/sAMAccountName dos vulnerabilidades sobre el sistema operativo de Windows permitirían a los atacantes tomar control total de los directorios activos que estén alojados sobre esta tecnología. Aunque las dos vulnerabilidades fueron reportadas desde el mes de noviembre con los siguientes identificadores CVE-2021-42278 y CVE-2021-42287, habían pasado algo desapercibidas porque no se había desarrollado una prueba de concepto que realmente fuera eficaz, todo esto cambió en los últimos días con el desarrollo de varios scripts que explotan estas vulnerabilidades y permiten con un solo comando, tomar control remoto del controlador de dominio
Las primeras pruebas de concepto que explotan estas vulnerabilidades salieron a la luz el día 12 de diciembre dejando expuesto una gran cantidad de infraestructuras que pudieron no haber sido actualizadas a la fecha, es importante mencionar que estas vulnerabilidades habían sido reportadas con una criticidad medio-alto que cambio a alta luego de que se hiciera público la POC (proof of concept) inicial. La mayoría de las versiones de Windows son vulnerables ya que no afecta al servidor si no al servicio de Kerberos y a la asignación de nombres de usuario validado por el atributo sAMAccountName que es fundamental para el servicio de directorio activo.
Para mitigar estas vulnerabilidades se deben contar con los siguientes parches de seguridad publicados por Microsoft desde el mes de noviembre KB5008102 que mitiga la vulnerabilidad CVE-2021-42278 y KB5008380 para la vulnerabilidad CVE-2021-42287
En términos generales, el ataque se aprovecha de la característica del protocolo Kerberos que añade el signo $ al nombre de una cuenta cuando esta no es encontrada como usuario, esto principalmente porque las cuentas de computadores típicamente cuentan con este símbolo en su nombre y el sistema realiza la comprobación para determinar si es una cuenta de equipo la que solicita la autenticación o ticket. Por otro lado, el proceso de autenticación mediante Kerberos se basa en la distribución de tickets a los diferentes servicios y usuarios que permiten a autenticarse contra otros elementos sin tener que solicitar las credenciales constantemente. Esto hace que se requiera de un TGT (Ticket Granting Ticket) para poder presentarlo ante los otros servicios y asegurar el usuario es quien dice ser y que tiene los permisos adecuados, este TGT solo lo puede entregar el Controlador de Dominio. El problema recae en que cuando se obtiene un TGT para un usuario y este es eliminado, el sistema busca este usuario en su base de información con el símbolo $ que es la primera característica mencionada, lo que permite a los atacantes poder suplantar el controlador de dominio si se crea una cuenta con el mismo nombre del controlador de dominio real y posteriormente se elimina o se modifica la cuenta.
En Etek International se realizaron las pruebas correspondientes y se pudo evidenciar en un ambiente controlado la eficacia y simplicidad de este ataque, si bien es cierto que se requiere tener una cuenta de dominio y que el atacante debe tener comunicación con el controlador a suplantar, los scripts publicados facilitan en gran medida la explotación de este haciendo que cualquier usuario interno pueda convertirse en un vector de ataque.
Recomendaciones
Dada la criticidad de estas vulnerabilidades, se sugiere realizar el parcheo de seguridad sobre los controladores de dominio de manera urgente, habilitar la auditoria sobre estos equipos para poder detectar cualquier cambio sobre sAMAccountName con el ID de evento 4662, así mismo el evento 4741 permite identificar la creación de nuevas máquinas en el sistema.
Todas estas recomendaciones y a la descripción técnica detalla puede ser encontrada en el siguiente link de Microsoft:
Casos de uso *:
- Gestión y/o Acceso a Plataformas.
- Seguimiento de actividades de un posible Ataque de día Cero.
- Reconocimiento y / o Vulnerabilidades.
- Gestión de Usuarios y/o Grupos de Directorio Activo (Abuso de Privilegios).
*Para contar con estas detecciones el cliente requiere tener servicios de SOC contratados.
Para más información puede consultar las siguientes fuentes asociadas a la noticia:
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-42278
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-42287
- https://www.bleepingcomputer.com/news/microsoft/microsoft-warns-of-easy-windows-domain-takeover-via-active-directory-bugs/
- https://www.marketscreener.com/quote/stock/SECUREWORKS-CORP-27329775/news/NoPac-A-Tale-of-Two-Vulnerabilities-That-Could-End-in-Ransomware-37365398/
- https://techcommunity.microsoft.com/t5/security-compliance-and-identity/sam-name-impersonation/ba-p/3042699
