Falla de diseño en Active Directory permitiría cambio de contraseña en Windows

La firma de seguridad israelí Aorato publicó en su blog y realizó una prueba de concepto que muestra cómo un atacante podría cambiar la contraseña de Windows. Microsoft sostiene que el tema es ampliamente conocido y que se han adoptado las medidas del caso.

Change-Password-redacted

Según Aorato, “Las terribles consecuencias de que un atacante puede cambiar la contraseña… definitivamente no era conocido”, dijo Be’ery, un directivo de Aorato en una entrevista telefónica.

Desde Windows 2000 Microsoft recomienda el uso de Kerberos como protocolo de autenticación. La investigación de la compañía se centra en NTLM, el protocolo de autenticación que Microsoft ha estado tratando de eliminar gradualmente durante años. Por compatibilidad, todas las versiones de Windows utilizaban NTLM de forma predeterminada, y versiones más recientes de Windows son compatibles con él en combinación con su sucesor, Kerberos.

NTLM es vulnerable a un ataque de “Pass-the-Hash” por el cual un atacante obtiene las credenciales de inicio de sesión para una computadora y puede utilizar la representación matemática de esas credenciales (hash), para acceder a otros servicios o equipos. Microsoft ha publicado recientemente un documento para mitigar estos ataques.

Aorato es una empresa fundada en 2011 por veteranos de la unidad tecnológica de las Fuerzas Armadas de Israel. Su negocio consiste en desarrollar y vender software que monitoriza el acceso a los componentes centrales de sistemas tecnológicos. Ellos sostienen que un atacante puede obtener el valor hash NTLM utilizando herramientas públicas como WCE o Mimikatz y luego construyó una herramienta como prueba de concepto que muestra cómo los atacantes pueden cambiar la contraseña de un usuario de forma arbitraria y acceder a otros servicios como RDP, Outlook Web Access (OWA), etc.

Microsoft implementó Kerberos para alejarse de algunas de las cuestiones de seguridad de NTLM, pero Kerberos trabaja con RC4-HMAC para permitir la compatibilidad con sistemas antiguos. Aunque algunas empresas tratan de limitar el uso del protocolo NTLM en favor de Kerberos, un atacante puede forzar a un cliente para autenticarse sobre Active Directory usando el protocolo de cifrado más débil, RC4-HMAC. El hash NTLM entonces es aceptado por Kerberos, que emite un nuevo ticket de autenticación.

Be’ery dijo que “algunas rarezas en Active Directory pueden causar que se realice un downgrade a NTLM, que hace que sea más difícil a las organizaciones desactivarlo, por lo cual no es una solución práctica”. Por ejemplo, si una persona está tratando de acceder a un recurso de red utilizando su dirección IP en lugar de su nombre, Active Directory utilizará NTLM aún si la organización está en la última versión de Windows.

Es de destacar que Microsoft ya ha reconocido las debilidades en NTLM en un documento técnico de 2012 y revisado en 2014 [PDF]. En mayo y en julio, la compañía publicó actualizaciones para mejorar la protección y la administración de credenciales que incluía mejoras sobre la gestión de contraseñas Kerberos y NTLM (entre otras). Recientemente también publicó un aviso sobre las medidas necesarias par evitar el cambio de contraseñas en Kerberos mediante claves RC4. Recomendando el uso de tarjetas inteligentes, desactivar el soporte de RC4 para Kerberos en todos los controladores de dominio o implementar dominios Windows Server 2012 R3 y configurar los usuarios como miembros del grupo de Usuarios Protegidos.

Con todo esto el problema parece diluirse y ser mucho menor de lo que en principio pueda parecer. Este tipo de ataques estaría pensado para emplearse en combinación con otras vulnerabilidades o como parte de un ataque más avanzado. Como medidas para detectar este tipo de ataques se recomienda la monitorización del restablecimiento de contraseñas o el seguimiento de actividades habituales de los usuarios para la detección de actividades extrañas.

Actualización: según publican varios medios financieros americanos, ahora Microsoft mantiene negociaciones para comprar la empresa isrealí Aorato. La operación podría ascender a unos 200 millones de dólares pero ninguna de las dos empresas ha confirmado ni desmentido la información.

Anuncios

Un pensamiento en “Falla de diseño en Active Directory permitiría cambio de contraseña en Windows”

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s