La
compañía de seguridad Aorato
ha anunciado una vulnerabilidad en Directorio Activo que podría
permitir a un atacante cambiar la contraseña de un usuario y acceder a todos
sus recursos. El problema, tal y como ha confirmado Microsoft, no es nuevo.
Es algo que ya se sabía desde hace
tiempo y que incluso ya existen medidas para evitar esta debilidad.
Una vez más sale a la luz un problema ya conocido como algo novedoso.
La vulnerabilidad según describe la compañía se centra en el protocolo de
autenticación NTLM. Un protocolo conocido desde hace años por su debilidad, así
que realmente el anuncio aporta pocas novedades.
NTLM es un protocolo de
autenticación basado en un intercambio desafío-respuesta, usado por Microsoft
desde hace muchos años. Sirve para autenticar a un ordenador que quiere, por
ejemplo, acceder a una unidad compartida de una red en otro sistema, sin que la
contraseña viaje en texto claro.
Desde Windows 2000 Microsoft recomienda el uso de Kerberos como
protocolo de autenticación. Sin embargo se mantiene la compatibilidad con
NTLM "por aquello" de la
compatibilidad hacia atrás.
Mientras que habitualmente
un hash NTLM solo podía emplearse para autenticarse en el sistema del usuario o
en la red como el usuario víctima. Aorato dice que su ataque puede emplearse para
bajar el nivel de autenticación de Kerberos. Es decir, hace que Kerberos pase
de usar cifrados más seguros a degradar la creación de tickets usando RC4-HMAC
y, atención, usando el hash NTLM como clave crear un ticket válido y hacerse
pasar por el usuario en el directorio activo.
Aunque la
configuración recomendada obliga a usar Kerberos en vez de NTLM, un atacante
puede forzar al cliente a autenticarse en el Directorio Activo mediante RC4-HMAC,
un protocolo de cifrado más débil (que de nuevo se mantiene para permitir la
compatibilidad con sistemas antiguos). Con ello Kerberos acepta el hash NTLM y
emite un nuevo ticket de autenticación.
Con todo esto el problema parece diluirse y ser mucho
menor de lo que en principio pueda parecer. Para empezar el atacante debe
tener acceso a la máquina de la víctima para conseguir el hash NTLM. De esta
forma, este tipo de ataques estaría pensado para emplearse en combinación con
otras vulnerabilidades o como parte de
un ataque más avanzado. Como medidas para detectar este tipo de ataques se
recomienda la monitorización del restablecimiento de contraseñas o el
seguimiento de actividades habituales de los usuarios para la detección de
actividades extrañas.
Por último, y por añadir otro
componente a la información, según ha revelado
The Wall Street Journal, la firma de Redmond está
actualmente en conversaciones con Aorato para adquirirla por en torno a 148
millones de euros. Según la publicación el acuerdo puede cerrarse en los próximos
dos meses.
Más información:
Active Directory Vulnerability Disclosure: Weak
encryption enables attacker to change a victim’s password without being logged
Mitigating Pass-the-Hash (PtH) Attacks and
Other Credential Theft, Version 2
NT "Pass the Hash" with Modified SMB
Client Vulnerability
Aviso de seguridad de Microsoft:
Actualización para mejorar la administración y protección de credenciales: 13
de mayo de 2014
Preventing Kerberos change password using RC4
secret keys
Microsoft in Talks to Buy Israeli Cybersecurity
Firm Aorato
una-al-dia (28/04/2008) Mitos y
leyendas: Las contraseñas en Windows IV (Redes)
una-al-dia (01/12/2008) ¿Es
cierto que Microsoft ha corregido ahora una vulnerabilidad de hace siete años?
(I)
una-al-dia (01/12/2008) ¿Es
cierto que Microsoft ha corregido ahora una vulnerabilidad de hace siete años?
(y II)
una-al-dia (31/08/2009) Mitos y
leyendas: El Directorio Activo (V) (Métodos para la restauración de datos
replicados)
una-al-dia (26/07/2009) Mitos y
leyendas: El Directorio Activo (IV) (La consola de recuperación)
una-al-dia (11/07/2009) Mitos y
leyendas: El Directorio Activo (III) (Última configuración buena conocida)
una-al-dia (06/07/2009) Mitos y leyendas:
El Directorio Activo (II) (Instalación segura)
una-al-dia (25/06/2009) Mitos y
leyendas: El Directorio Activo (I) (Conceptos)
Antonio Ropero
