La vulnerabilidad permite que los servidores de Windows autentiquen el acceso no autorizado

 

Una vulnerabilidad que permite a un ciberdelincuente tomar el control de servidores Windows remotos (incluido el controlador de dominio), lo que hace que autentiquen un objetivo malicioso (manipulado por un posible atacante).

La vulnerabilidad fue descubierta por el investigador francés de seguridad de la información Gilles Lionel, quien la llamó PetitPotam. Ha sido probado y exitoso en sistemas Windows 10, Windows Server 2016 y 2019.

Lionel publicó una Prueba de concepto (PoC) en GitHub, donde explica que un atacante puede abusar de un protocolo de sistema de cifrado remoto (EFSRPC) para realizar el mantenimiento y la gestión de datos cifrados, almacenados de forma remota.

“[O PetitPotam] obliga a los hosts de Windows a autenticarse en otras máquinas a través de la función MS-EFSRPC EfsRpcOpenFileRaw. Esto también es posible a través de otros protocolos y funciones. Las herramientas utilizan la tubería con nombre LSARPC con la interfaz c681d488d850-11d0-8c52-00c04fd90f7e porque es más frecuente. Pero es posible disparar con el canal con nombre EFSRPC y la interfaz df1941c5-fe89-4e79-bf10-463657acf44d. No necesita credenciales en el controlador de dominio “, explica.

Microsoft lanza actualización de seguridad

The Record, que reveló este caso al público, se puso en contacto con Microsoft, que no respondió a la solicitud de contacto con la prensa. Sin embargo, un día después se dio a conocer el fallo. La compañía ha publicado una actualización de seguridad que corrige la vulnerabilidad.

En la página de la guía de esta actualización, Microsoft explica que la vulnerabilidad de Lionel podría resultar en un clásico ataque de retransmisión NTLM.

“Para evitar ataques de retransmisión NTLM en redes habilitadas para NTLM, los administradores de dominio deben asegurarse de que los servicios que habilitan la autenticación NTLM utilicen protecciones como la Protección Extendida para la Autenticación (EPA) o características de firma como la firma SMB”.

“PetitPotam aprovecha los servidores donde Active Directory Certificate Services (AD CS) no está configurado con protecciones para ataques de retransmisión NTLM. Las mitigaciones descritas en KB5005413 instruyen a los clientes sobre cómo proteger sus servidores AD CS de tales ataques”, dice. a Microsoft.


Fuentes: the record; Gilles Lionel; Microsoft; TheHack.

También podría gustarte

More Similar Posts

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Rellena este campo
Rellena este campo
Por favor, introduce una dirección de correo electrónico válida.