Active Directory de Microsoft presenta un importante fallo de seguridad

0

El Directorio Activo es una forma de comunicación y control dentro de una red empresarial

Se ha descubierto un importante fallo de seguridad en Microsoft Active Directory que podría permitir a un atacante, mediante un ataque “pass-the-hash“, modificar la contraseña de la víctima y acceder a servicios dentro de la red empresarial.

Expertos de la Universidad de Aorato, en Israel, explican en una entrada en su blog como un atacante sería capaz de vulnerar la seguridad del Directorio Activo de Microsoft para obtener acceso a un sistema objetivo, sin necesidad de estar dentro de la red.

Active Directory

Este servicio de Microsoft está implantado en el 95% de las 1000 compañías que forman parte de la lista Fortune. Al ser un sistema tan extendido, se considera crítica esta vulnerabilidad.

Una vez el atacante ha cambiado la contraseña de la víctima, puede asumir la identidad de la víctima para acceder a diferentes servicios de la empresa, que están configurados para solicitar la contraseña del usuario, incluyendo RDP (Remote Desktop Protocol) y OWA (Outlook Web Access). Como podéis imaginar, dos servicios tan utilizados y con tanto peso en las empresas, son importantes para un atacante.

Además, según citan los expertos de Aorato, “se ha comprobado que los logs no están constatando este problema de degradación del encriptado“. Basándonos en que gran parte de las pistas de seguridad se reciben mediante los LOG de servidor, si estos no recogen nada pondrían en aprietos a los administradores, ya que la amenza pasaría desapercibida.

El Directorio Activo controla múltiples aspectos y servicios dentro de una red

El proceso

El atacante simplemente tiene que utilizar un programa gratuito de “pentesting”, como Windows Credentials Editor o Mimikatz, para así robar el hash NTLM de la máquina deseada. El hash NTLM está disponible en todos los dispositivos conectados a recursos de la red empresarial. Una vez robado el hash, el atacante “que fuerce el cliente a autenticarse en Active Directory usando un protocolo de encriptado débil”, podría ser capaz de modificar las contraseñas de las víctimas, para así iniciar sesión en los servicios que estén disponibles.

Respuesta de Microsoft

Microsoft está al tanto del problema desde principios de mes, atribuyendo este a una limitación de diseño en Active Directory, causada por los protocolos de autenticación que el servicio emplea (NTLM). Por tanto, lo que hace es invitar a los administradores de sistemas a implementar la solución “Smart Card” como método de autenticación, mientras se desactiva el algoritmo de encriptado RC4-HMAC, que utiliza el hash NTLM como clave.

Sin embargo, los expertos de Aorato encuentran dudas razonables a la idoneidad de la solución propuesta por Microsoft:

  • La eliminación de algoritmos de cifrado antiguos podría impedir a los usuarios el acceso a sistemas más antiguos, considerando que NTLM es el protocolo predefinido en versiones de Windows anteriores a Windows XP SP3
  • Las Smart Cards son caras y difíciles de implementar en una red empresarial.

Para prevenir estos ataques, debido al fallo de los sistemas de “logging”, se recomienda a las empresas la monitorización de anomalías en los protocolos de autenticación, incluyendo informes de aplicaciones accedidas, ubicaciones utilizadas para acceder a servicios y fechas de acceso.

En cualquier caso, que el problema sea crítico no es una idea compartida por todos los expertos, ya que otros sistemas recientes de Microsoft ya utilizan diferentes mecanismos como Kerberos, además de que un atacante debería antes conseguir acceso a una máquina dentro de la red para después llevar a cabo accesos no deseados.

Más información

Compartir.

Sobre el Autor

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.

Dejar una Respuesta

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR