Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET

Suscripción

¿Quieres recibir las últimas novedades del blog en tu correo?

¡Suscríbete al feed!

Entradas populares

PostHeaderIcon Nuevo ataque PetitPotam permite hackear dominios de sistemas Windows




Un investigador de seguridad francés ha descubierto un fallo de seguridad en el sistema operativo Windows con Active Directory Certificate Services (ADCS) activado que puede explotarse para obligar a las máquinas Windows remotas a autenticarse y compartir sus hashes de contraseña con un atacante, lo que permite tomar el control de Windows. El problema, descubierto por Gilles Lionel (aka Topotam), un investigador de seguridad francés con sede en París, recibió el apodo de PetitPotam, y el código de prueba de concepto (PoC) se publicó a principios de esta semana en GitHub.


Este riesgo de ataques de relay se masificó en octubre de 2019, cuando Microsoft parcheó dos vulnerabilidades críticas en todas las versiones de NTLM. Los explois exitosos podrían permitir a un atacante ejecutar código de forma remota en una máquina con Windows o moverse lateralmente en la red a sistemas críticos como servidores que alojan controladores de dominio.

Los investigadores descubrieron un método para forzar un controlador de dominio para autenticarse contra un relay de NTLM malicioso que luego reenvía la solicitud a los servicios de certificados de Active Directory a través de HTTP. 

PetitPotam - MS-EFSRPC



PetitPotam es un ataque increíblemente poderoso. Dentro de las grandes redes corporativas, los atacantes podrían usarlo para obligar a los controladores de dominio a entregar sus contraseñas, lo que podría llevar a la toma total de control de la red interna de una empresa.

Según Lionel, el PetitPotam es posible cuando un atacante abusa de MS-EFSRPC, un protocolo que permite a las máquinas con Windows realizar operaciones con datos cifrados almacenados en sistemas remotos. 

MS-EFSRPC (Encrypting File System Remote (EFSRPC))


MS-EFSRPC es el protocolo de cifrado remoto del sistema de archivos de Microsoft y se utiliza para realizar "operaciones de mantenimiento y administración en los datos cifrados que se almacenan de forma remota y se accede a través de una red".

La PoC permite que un atacante envíe solicitudes SMB a la interfaz MS-EFSRPC de un sistema remoto y obligue a la computadora víctima a iniciar un procedimiento de autenticación y compartir su hash de autenticación NTLM. El script se puede usar para forzar un controlador de dominio para autenticarse contra un NTLM remoto bajo el control de un atacante utilizando la API MS-EFSRPC.

Esto se hace a través de LSARPC (puerto TCP 445) y hace que el servidor de destino se conecte a un servidor arbitrario y realice la autenticación NTLM. 


Luego, los atacantes pueden recopilar este hash y abusar de él de dos maneras, ya sea usándolo como parte de un ataque de retransmisión NTLM o guardando el hash y descifrándolo fuera de línea para obtener una versión en texto claro de la contraseña de la cuenta de la víctima.

Utilizando Rubeus para obtener un TGT

El atacante ahora puede usar la herramienta Rubeus para obtener un TGT de Kerberos (Ticket Granting Ticket), utilizando la cuenta de la máquina que inicialmente se abusó para hacer la conexión NTLM. Probablemente ya pueda adivinarlo: si esa máquina era un controlador de dominio, podemos obtener el TGT como esa cuenta de máquina controladora de dominio, lo que finalmente permitirá que el atacante comprometa completamente el dominio. 



Los investigadores de seguridad han sido rápidos para probar el PoC y su efectividad.

El investigador de seguridad y el creador de Mimikatz, Benjamin Delpy, también probó la nueva técnica, y creó un video demostrando cómo los actores de la amenaza pueden abusar de ella. 

Además, las pruebas realizadas por Gilles y varios investigadores de seguridad han demostrado que la desactivación del soporte para MS-EFSRPC no impide que el ataque funcionara. Lionel dice que "no ve esto como una vulnerabilidad, sino más bien el abuso de una función legítima. Función que no debería usar la cuenta de la máquina para autenticarse".

Además de la autenticación SMB, este ataque podría utilizarse para realizar "NTLMV1 Downgrade y relaying en sistemas donde la cuenta de la máquina es el administrador local (SCCM, Exchange Server, por ejemplo)"

  El ataque se ha probado contra los sistemas Windows 10, Windows Server 2016 y Windows Server 2019, pero los investigadores de seguridad creen que PetitPotam afecta a la mayoría de las versiones de Windows compatibles en la actualidad.

No se conocen mitigaciones que puedan detener este ataque y Lionel dice que detener el servicio EFS no impide que se explote. El investigador dice que la única forma de mitigar esta técnica es deshabilitar la autenticación de NTLM o permitir protecciones, como la firma de SMB, la firma de LDAP y la unión de canales.

"El problema con este tipo de ataque es que se necesitará una cantidad considerable de tiempo y consideraciones para desarrollar las contramedidas adecuadas", dijo Florian Roth, Jefe de Investigación de Nextron Systems. "Estos son defectos de diseño que son más difíciles de solucionar. Es mucho más fácil simplemente parchear una DLL de controlador de fuente vulnerable o una biblioteca de Internet Explorer", agregó Roth.

Con todo esto, Microsoft está pasando por una mala racha, en cuanto a seguridad. Este es el tercer problema importante de seguridad de Windows revelado durante el último mes después de las vulnerabilidades PrintNightmare y SeriousSAM (HiveNightmare)

Uno de los principales problemas aquí es que los Servicios de certificados de Active Directory utilizan NTLM para la autenticación:


Entonces, dependiendo de cómo tu empresa use ADCS, puedes deshabilitar la autenticación NTLM en el servidor IIS y este ataque en particular ya no será posible. Por supuesto, si no necesitas este servicio en particular (registro de certificado basado en web), mejor elimínalo por completo.

 ¿Qué son los ataques de retransmisión (relay) NTLM?

A pesar de sus muchas debilidades de seguridad, NTLM todavía es compatible con muchos sistemas y aplicaciones heredados. Más de 20 años después de la introducción del "reemplazo" natural de NTLM: Kerberos. La compatibilidad hacia atrás con los sistemas y aplicaciones heredados de Windows ha mantenido NTLM, agregando complejidad y debilidad a las implementaciones de Active Directory en particular.




En NTLM, se utiliza un protocolo de desafío-respuesta para la autenticación. Para cualquier solicitud de autenticación:

  • NTLM establece un protocolo de enlace de tres vías durante la autenticación cliente-servidor con el cliente, estableciendo una ruta al servidor y negociando la autenticación.
  • El servidor responde al mensaje de negociación del cliente con un desafío, pidiéndole al cliente que cifre una secuencia de caracteres usando un secreto que posee: un hash de su contraseña.
  • El cliente envía una respuesta al servidor, que se pone en contacto con un servicio de autenticación de dominio alojado en un controlador de dominio para verificar la respuesta.

En un ataque de retransmisión (relay) NTLM, un atacante establece una posición entre el cliente y el servidor en la red e intercepta el tráfico de autenticación. Las solicitudes de autenticación del cliente son enviadas al servidor por el atacante, de manera similar, los desafíos se transmiten al cliente y las respuestas de autenticación válidas al desafío del cliente se envían de vuelta al servidor, lo que permite al atacante, en lugar del cliente, autenticarse utilizando los datos y credenciales del cliente.

En los ataques de relay, el cliente cree que está negociando con el servidor de destino al que desea autenticarse. Mientras tanto, el servidor cree que el atacante es un cliente legítimo que intenta autenticarse. 


Fuentes:
https://blog.segu-info.com.ar/2021/07/nuevo-ataque-petitpotam-obliga-windows.html

https://isc.sans.edu/diary/27668


Vía:

BC | The Record


0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.