Vulnerabilidad “letal” en Kerberos

0

El investigador de seguridad dfirblog ha examinado a nivel forense lo que podríamos denominar “Kerberos Killer” o una seria amenaza para el sistema de seguridad Kerberos, incluído profusamente en todas las versiones de Windows.
Vulnerabilidad en Kerberos

Lo peor es que, como informó The Guardian, la vulnerabilidad en Kerberos no puede solucionarse fácilmente, siendo la única opción el uso del programa Microsoft Credential Guard para impedir que las contraseñas sean almacenadas en memoria, como comenta en su post.

Datos sobre esta vulnerabilidad en Kerberos

Viene relacionada con la forma en que este sistema de autenticación crea las claves secretas. Se utiliza la contraseña asociada con un nombre de usuario inhabilitado o krbgt. Dicha contraseña no suele cambiar, por lo que es posible traspasar el sistema de autenticación en su totalidad. Esto facilitaría a un atacante los permisos de administrador, además de posibilitar la creación de una contraseña oculta para usuarios ya existentes o de nueva creación.

Por un lado tenemos ciertas limitaciones -el sistema volverá a solicitar credenciales tras 20 minutos- pero realmente no son tales, porque al poder crear un número ilimitado de usuarios ficticios, podemos virtualmente acceder al sistema comprometido indefinidamente.

¿Qué es Kerberos?

Se trata de un protocolo de autenticación a nivel de red -Open Source- implementado en Windows, tanto cliente como servidor. En el ámbito mitológico, Kerberos o Cerberus era un perro de 3 cabezas que guardaba la puerta al inframundo

Acceso sin restricciones

Ya se halló una vulnerabilidad en Kerberos el año pasado, donde se pudo comprobar como era posible comprometer una red completa, llegando incluso a instalar programas o borrar datos. En esta ocasión tenemos algo similar entre manos.

Dfirblog detalla que las claves secretas de Kerberos son generadas de tal forma que no sea necesario enviar contraseñas a lo ancho de la redm siendo recopiladas del repositorio de la memoria del equipo. Sin embargo, al utilizar el hash procedente de  NT LAN Manager a nivel de usuario como clave, son relativamente fáciles de recuperar por un atacante.

Sistema NT Lan Manager

Sistema NT Lan Manager

Peor aún, el usuario krbgt es creado cuando el sistema está inactivo y recién instalado, así que podrían pasar años sin que se modifique, proporcionando acceso persistente a los recursos.

En su post, el experto nos ofrece más detalles acerca de lo que un usuario podría conseguir en un sistema comprometido:

  • Añadir nuevos usuarios
  • Generar nuevas contraseñas secretas (secundarias) para usuarios activos
  • Descarga de archivos de los sistemas conectados

La mitigación de estos ataques no es posible en su mayoría, pues se trata de la forma en que Kerberos funciona en entornos Windows…En general, necesitamos centrarnos en proteger las cuentas con privilegios a cualquier coste, ya que es lo que buscarán los atacantes y no esposible proteger a todo el mundo.

Recordad: vuestra mejor apuesta ahora mismo son el Grupo de usuarios Protegidos y Credential Guard.

Respuesta de Microsoft

Microsoft afirma estar investigando esta vulnrabilidad de tipo Pass-the-Hash, aunque comentan que:

Es importante tener en cuenta que solamente las organizaciones que ya cuenten con un controlador de dominio totalmente comprometido serán vulnerables a esta técnica.

Podéis encontrar información sobre cómo protegeros de esta vulnerabilidad en Kerberos aquí.

Valora y comparte!

  • User Ratings (3 Votes)
    6.9
Compartir.

Sobre el Autor

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.

Dejar una Respuesta

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR