Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1058
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
▼
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
▼
abril
(Total:
59
)
- 1,5 millones de contraseñas asociadas a correos de...
- Un argentino compró el dominio oficial de Google A...
- Vulnerabilidad en F5 BIG-IP en Kerberos Key Distri...
- Un error de Google permitía acceder a información ...
- Malware en MacOS gracias a una vulnerabilidad en G...
- Windows Defender bloqueará malware de minado de cr...
- Engañan a varios políticos europeos a través de vi...
- 250GB datos robados al Departamento de Policía Met...
- microCLAUDIA; vacuna contra el ransomware y otros ...
- Estudiante de Stanford encontró fallo en el sistem...
- ¿Qué es la MAC Address o dirección MAC Media?
- Oleada de ciberataques tumba las webs del INE, Jus...
- Actualizaciones de seguridad graves e importantes ...
- Microsoft presenta interfaz gráfica GUI de aplicac...
- Técnicas de ataque del ransomware Ryuk: víctimas; ...
- Rusia y su relación con el ransomware
- Herramientas para el análisis archivos de Microsof...
- Quanta, proveedor hardware de Apple, víctima del r...
- Mueren dos personas que circulaban en un Tesla sin...
- La Policía Española desmantela el primer taller il...
- Ataque Airstrike: bypass de BitLocker con escalada...
- Distribuyen malware en plantillas PDF maliciosos
- Estados Unidos sanciona direcciones de criptomoned...
- The Phone House España victima del grupo de ransom...
- Los Houston Rockets de la NBA, nueva victima del r...
- Hackean la web de Más Madrid y desvían 8.000 euros...
- Creador del Bitcoin, Satoshi Nakamoto, la 19ª pers...
- Informe del ransomware Clop
- Consejos para realizar copias de seguridad
- Error en WhatsApp permite desactivar y bloquear cu...
- Falsa oferta de trabajo de LinkedIn instala un tro...
- Troyano bancario IcedID: ¿el nuevo Emotet?
- ¿Qué es el "checksum" de un fichero bajado de inte...
- Ransomware: DoppelPaymer (BitPaymer)
- Finaliza concurso hacking Pwn2Own 2021
- journalctl; analizar logs del sistema en Linux
- Microsoft fabricará cascos de realidad aumentada p...
- Verifica si tu número de teléfono ha sido filtrado...
- Filtran información personal de 500 millones de us...
- ownCloud vs NextCloud crea tu propia nube personal
- XPEnology: el SO operativo DSM de Synology
- Alertan cheats contienen troyano en juegos como Ca...
- Monitorización Discos Duros HDD y unidades SSD con...
- Rendimiento memoria RAM DDR5 Vs DDR4
- Análisis ransomware Avaddon
- Detenido mafioso italiano tras ser reconocido en u...
- Asterisk: centralita Telefonía IP (VoIP) de código...
- Ejemplos útiles directivas de grupo de Windows 10
- Los números de teléfono y datos personales de 533 ...
- Completo Análisis del ransomware REvil (Sodinokibi)
- Usar Telegram cómo nube personal ilimitada
- Android envía 20 veces más datos a Google que iOS ...
- Hackearon 7 correos electrónicos de parlamentarios...
- Disponible distro hacking ético y pentester Parrot...
- Centro de Operaciones de Seguridad (SOC)
- Vulnerabilidades críticas en VMware vRealize Opera...
- Mes de la videovigilancia en Instant Byte: webinar...
- Google detuvo una operación antiterrorista en USA ...
- Proteger seguridad servidor NAS QNAP
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
Un fallo de diseño en el mecanismo de registro del servidor VPN de Fortinet puede aprovecharse para ocultar la verificación exitosa de cre...
-
Trinity asegura haber robado 560 GB de datos de la Agencia Tributaria (AEAT) española, así como haber secuestrado parte de sus sistemas, ci...
Ataque Airstrike: bypass de BitLocker con escalada de privilegios local
Un atacante con acceso físico a un dispositivo bloqueado y con capacidades WiFi puede abusar de esta funcionalidad para obligar a la computadora portátil a autenticarse contra un punto de acceso no autorizado y capturar un hash de respuesta de desafío MSCHAPv2. Este hash se puede enviar a crack.sh para recuperar el hash NTLM de la cuenta de la computadora en menos de 24 horas.
De forma predeterminada, las estaciones de trabajo Windows unidas al dominio permiten el acceso a cambiar la red WiFidesde la pantalla de bloqueo. La investigación de Matthew Johnson (@breakfix) de The Missing Link Security describe la vulnerabilidad Airstrike Attack, identificada como CVE-2021-28316, que permite a atacantes con acceso físico a Windows 10 forzar autenticaciones WiFi contra un punto de acceso y capturar los hashes de respuestas MSCHAPv2 para la cuenta de dominio.
Una vez recuperado, este hash NTLM combinado con el SID del dominio se puede
utilizar para falsificar
Kerberos Silver Tickets
para hacerse pasar por un usuario privilegiado y comprometer al host. Un
ejemplo de esto es crear un ticket para el servicio CIFS de la computadora
portátil con el fin de autenticarse a través de SMB como usuario del SYSTEM y
obtener acceso sin restricciones al disco duro.
Como el ataque se
puede realizar desde un dispositivo bloqueado, se puede utilizar para omitir
el cifrado de disco completo de BitLocker y obtener acceso al sistema de
archivos del dispositivo (Full Disk Encryption - FDE).
Además, como se pueden falsificar tickets plateados para usuarios privilegiados y se puede aprovechar para elevar los privilegios a los del administrador local en el dispositivo.
La vulnerabilidad se confirmó que está presente en hosts de Windows 10 unidos al dominio pero versiones anteriores de Windows también pueden verse afectadas, aunque no se han probado.
Explicaciones Técnicas
Quienes estén familiarizados con las redes inalámbricas empresariales probablemente estarán familiarizados con el Protocolo de autenticación extensible protegido (PEAP). PEAP es un protocolo de autenticación de túnel, lo que significa que primero se establece un túnel SSL con el servidor RADIUS (conocido como Fase 1) para proteger las credenciales enviadas durante la autenticación (Fase 2).
Uno de los métodos de autenticación interna más comunes utilizados en entornos Windows es MSCHAPv2. El protocolo MSCHAPv2 ha existido durante mucho tiempo y tiene algunas fallas criptográficas graves, como lo demostraron Moxie Marlinspike y David Hulton en una charla DEFCON.
En entornos Windows, cuando un usuario de dominio se autentica en un punto de acceso inalámbrico usando PEAP con MSCHAPv2, el hash de respuesta al desafío resultante se deriva del hash NTLM de la contraseña del usuario del dominio. La culminación de esta investigación es el uso servicio crack.sh, que garantiza la recuperación de un hash NTLM para cualquier hash de respuesta de desafío MSCHAPv2 dado (independientemente de la complejidad de la contraseña).
Además de la autenticación de usuario de dominio, Windows también ofrece la opción de utilizar la autenticación de máquina / computadora. Esto se utiliza para permitir que el dispositivo se autentique en la red inalámbrica antes de que el usuario del dominio inicie sesión.
La autenticación por computadora es necesaria para resolver la situación del "huevo y la gallina" que surge cuando un dispositivo necesita autenticarse en la red antes de poder acceder a Active Directory y autenticar al usuario del dominio. Para crear una experiencia perfecta para el usuario, esta autenticación se realiza desde la pantalla de bloqueo antes de que el usuario inicie sesión en el dispositivo.
La autenticación de la computadora puede usar certificados de cliente o MSCHAPv2 para su mecanismo de autenticación interno. En el caso de los certificados de cliente, se utiliza un certificado emitido para la cuenta del equipo del dominio para autenticarse. Pero, ¿qué sucede si se usa la autenticación de computadora con PEAP y MSCHAPv2? En este caso, el hash NTLM de la cuenta del equipo del dominio se utiliza para la autenticación.
Las contraseñas de las cuentas de computadora son complejas, largas y se generan aleatoriamente. No hay forma de que podamos recuperar la contraseña de texto sin formato para esta cuenta, entonces, ¿por qué importa esto? Bueno, no podemos recuperar la contraseña de texto sin formato, pero gracias a crack.sh podemos recuperar el hash NTLM.
Los hashes NTLM de cuentas de equipo tienen un significado especial en el contexto de los entornos de dominio de Windows, ya que se relacionan con los tickets plateados de Kerberos. Los tickets de servicio Kerberos para los servicios alojados por la computadora (por ejemplo, el servicio CIFS) se firman y cifran utilizando el hash NTLM de la cuenta de la computadora.
Para falsificar tickets de servicio necesitamos la siguiente información: Hash NTLM de la cuenta de la computadora, Nombre del servicio al que queremos tener acceso y SID de dominio. Una vez que hayamos recuperado el hash NTLM de la cuenta de computadora desde crack.sh, todo lo que necesitamos es el SID de dominio y podemos falsificar nuestros propios tickets. El SID del dominio no es información secreta y cualquier usuario normal del dominio puede recuperarlo.
Este ataque también se puede "weaponizar" y el autor del artículo explica cómo llevar adelante el ataque completo. Microsoft ha publicado el parche en la última actualización de seguridad de abril de 2021.
Fuente: Shenanigans Labs
https://blog.segu-info.com.ar/2021/04/airstrike-attack-bypass-de-bitlocker-y.html
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.