{"id":5423,"date":"2021-12-23T16:14:52","date_gmt":"2021-12-23T21:14:52","guid":{"rendered":"https:\/\/etek.com\/es\/?p=5423"},"modified":"2021-12-23T16:14:52","modified_gmt":"2021-12-23T21:14:52","slug":"vulnerabilidad-en-microsoft-permitiria-a-los-atacantes-aduenarse-del-ad","status":"publish","type":"post","link":"https:\/\/etek.com\/es\/vulnerabilidad-en-microsoft-permitiria-a-los-atacantes-aduenarse-del-ad\/","title":{"rendered":"Vulnerabilidad en Microsoft permitir\u00eda a los atacantes adue\u00f1arse del AD"},"content":{"rendered":"

Denominadas noPac\/sAMAccountName dos vulnerabilidades sobre el sistema operativo de Windows permitir\u00edan a los atacantes tomar control total de los directorios activos que est\u00e9n alojados sobre esta tecnolog\u00eda. Aunque las dos vulnerabilidades fueron reportadas desde el mes de noviembre con los siguientes identificadores CVE-2021-42278 <\/strong>y CVE-2021-42287, <\/strong>hab\u00edan pasado algo desapercibidas porque no se hab\u00eda desarrollado una prueba de concepto que realmente fuera eficaz, todo esto cambi\u00f3 en los \u00faltimos d\u00edas con el desarrollo de varios scripts que explotan estas vulnerabilidades y permiten con un solo comando, tomar control remoto del controlador de dominio<\/p>\n

\u00a0<\/p>\n

Las primeras pruebas de concepto que explotan estas vulnerabilidades salieron a la luz el d\u00eda 12 de diciembre dejando expuesto una gran cantidad de infraestructuras que pudieron no haber sido actualizadas a la fecha, es importante mencionar que estas vulnerabilidades hab\u00edan sido reportadas con una criticidad medio-alto que cambio a alta luego de que se hiciera p\u00fablico la POC (proof of concept) inicial. La mayor\u00eda de las versiones de Windows son vulnerables ya que no afecta al servidor si no al servicio de Kerberos y a la asignaci\u00f3n de nombres de usuario validado por el atributo sAMAccountName que es fundamental para el servicio de directorio activo.
Para mitigar estas vulnerabilidades se deben contar con los siguientes parches de seguridad publicados por Microsoft desde el mes de noviembre KB5008102 que mitiga la vulnerabilidad CVE-2021-42278 y KB5008380 para la vulnerabilidad CVE-2021-42287<\/p>\n

\n\t\t\t\t\t\t\t\t\t\t\"\"
Imagen 1. CVE 2021 42278<\/figcaption><\/figure>\n

En t\u00e9rminos generales, el ataque se aprovecha de la caracter\u00edstica del protocolo Kerberos que a\u00f1ade el signo $ al nombre de una cuenta cuando esta no es encontrada como usuario, esto principalmente porque las cuentas de computadores t\u00edpicamente cuentan con este s\u00edmbolo en su nombre y el sistema realiza la comprobaci\u00f3n para determinar si es una cuenta de equipo la que solicita la autenticaci\u00f3n o ticket. Por otro lado, el proceso de autenticaci\u00f3n mediante Kerberos se basa en la distribuci\u00f3n de tickets a los diferentes servicios y usuarios que permiten a autenticarse contra otros elementos sin tener que solicitar las credenciales constantemente. Esto hace que se requiera de un TGT (Ticket Granting Ticket) para poder presentarlo ante los otros servicios y asegurar el usuario es quien dice ser y que tiene los permisos adecuados, este TGT solo lo puede entregar el Controlador de Dominio. El problema recae en que cuando se obtiene un TGT para un usuario y este es eliminado, el sistema busca este usuario en su base de informaci\u00f3n con el s\u00edmbolo $ que es la primera caracter\u00edstica mencionada, lo que permite a los atacantes poder suplantar el controlador de dominio si se crea una cuenta con el mismo nombre del controlador de dominio real y posteriormente se elimina o se modifica la cuenta.<\/p>\n

\n\t\t\t\t\t\t\t\t\t\t\"\"
Imagen 2. Proceso de autenticaci\u00f3n Kerberos<\/figcaption><\/figure>\n

En Etek International se realizaron las pruebas correspondientes y se pudo evidenciar en un ambiente controlado la eficacia y simplicidad de este ataque, si bien es cierto que se requiere tener una cuenta de dominio y que el atacante debe tener comunicaci\u00f3n con el controlador a suplantar, los scripts publicados facilitan en gran medida la explotaci\u00f3n de este haciendo que cualquier usuario interno pueda convertirse en un vector de ataque.<\/p>\n

\n\t\t\t\t\t\t\t\t\t\t\"\"
Imagen 3. PoC realizado en Etek<\/figcaption><\/figure>\n
Recomendaciones<\/strong><\/h5>\n

Dada la criticidad de estas vulnerabilidades, se sugiere realizar el parcheo de seguridad sobre los controladores de dominio de manera urgente, habilitar la auditoria sobre estos equipos para poder detectar cualquier cambio sobre sAMAccountName con el ID de evento 4662, as\u00ed mismo el evento 4741 permite identificar la creaci\u00f3n de nuevas m\u00e1quinas en el sistema.
Todas estas recomendaciones y a la descripci\u00f3n t\u00e9cnica detalla puede ser encontrada en el siguiente link de Microsoft:<\/p>\n