Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1015
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
▼
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
▼
julio
(Total:
52
)
- Las 30 vulnerabilidades más explotadas en 2020 y 2021
- Dos mujeres hackearon cajeros automáticos con una ...
- La Unión Europea impone multa récord a Amazon con ...
- Dos detenidos por acosar a niñas menores a través ...
- Contratistas de defensa de E.U. fueron engañados p...
- BlackMatter y LockBit 2.0: novedades en el mundo d...
- Supuesta filtración 4 billones de teléfonos de Clu...
- Vulnerabilidades en el router de fibra HGU Askey d...
- Actualizaciones de seguridad de Apple para iOS, iP...
- Diferencias GPUs NVIDIA RTX vs GTX
- Clonar Disco Duro HDD o Unidad SSD con CloneZilla
- Nuevo ataque PetitPotam permite hackear dominios d...
- Quién es Shalev Hulio, el militar responsable de P...
- El 97% de los emails que usan los funcionarios Esp...
- DuckDuckGo presenta "Email Protection", un servici...
- Detenido en Estepona responsable hackear más de 1...
- Grave vulnerabilidad local kernel sistema de fiche...
- Nueva vulnerabilidad en Windows permite elevación ...
- WhatsApp permitirá activar el cifrado de la copia ...
- Estados Unidos acusa formalmente a 4 ciudadanos Ch...
- Análisis forense víctimas de Pegasus del grupo NSO...
- Grave vulnerabilidad ejecución remota de código en...
- ASIC para minar criptomonedas
- Las 3.800 PS4 confiscadas en Ucrania no minaban cr...
- Microsoft revela que ciudadanos en Cataluña han si...
- Hackean las cuentas de Twitter y Facebook de La Se...
- Steam Deck: Valve presenta consola portátil para j...
- Documentos maliciosos Excel 4.0 XLM Macros
- Detenidas en España 16 personas por estafar 3,5 mi...
- Actualizaciones de seguridad productos Microsoft, ...
- Gmail quiere acabar con el phishing gracias al BIMI
- Intervenido en Málaga un dron de 4,35 metros de en...
- Mozilla VPN ya está disponible en España
- Fallo de seguridad en la web Vacunación Covid de C...
- Herramientas Endpoint Detection and Response EDR
- Alternativas correo Gmail basadas en la privacidad
- Descubren a un conductor de contrabando con 256 CP...
- ChatControl: El Parlamento Europeo aprueba la vigi...
- Parche incompleto de Microsoft para PrintNightmare...
- Error en la web de Sanidad Madrid expone datos pri...
- Descubren miles de Bases de Datos desprotegidas en...
- Cifrado por hardware unidades SSD (SED)
- Ingeniero de Microsoft consiguió robar 10 millones...
- WhatsApp ya permite enviar fotografías y vídeos qu...
- Descubren 9 aplicaciones Android que roban credenc...
- Ciberataque global del ransomware REvil afecta a m...
- Publicada herramienta descifrado gratuita para víc...
- Europol cierra servicio de VPN DoubleVPN utilizado...
- Operadores de Telefonía añaden enlaces publicidad ...
- 30 millones ordenadores Dell vulnerables por culpa...
- Grupo MASMOVIL España hackeado por el ransomware d...
- Grave vulnerabilidad en el servicio de impresión d...
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
En el panorama en constante evolución de la seguridad de redes, OpnSense se ha convertido en una formidable solución de firewall. Nacido de...
-
Pese a que Gemini ofrece multitudes de opciones, recientemente, se ha dado a conocer una situación fuera de lo común. Hace unos días, un es...
Nuevo ataque PetitPotam permite hackear dominios de sistemas Windows
Un investigador de seguridad francés ha descubierto un fallo de seguridad en el sistema operativo Windows con Active Directory Certificate Services (ADCS) activado que puede explotarse para obligar a las máquinas Windows remotas a autenticarse y compartir sus hashes de contraseña con un atacante, lo que permite tomar el control de Windows. El problema, descubierto por Gilles Lionel (aka Topotam), un investigador de seguridad francés con sede en París, recibió el apodo de PetitPotam, y el código de prueba de concepto (PoC) se publicó a principios de esta semana en GitHub.
Este riesgo de ataques de relay se masificó en octubre de 2019, cuando Microsoft parcheó dos vulnerabilidades críticas en todas las versiones de NTLM. Los explois exitosos podrían permitir a un atacante ejecutar código de forma remota en una máquina con Windows o moverse lateralmente en la red a sistemas críticos como servidores que alojan controladores de dominio.
Los investigadores descubrieron un método para forzar un controlador de dominio para autenticarse contra un relay de NTLM malicioso que luego reenvía la solicitud a los servicios de certificados de Active Directory a través de HTTP.
PetitPotam - MS-EFSRPC
PetitPotam es un ataque increíblemente poderoso. Dentro de las grandes redes corporativas, los atacantes podrían usarlo para obligar a los controladores de dominio a entregar sus contraseñas, lo que podría llevar a la toma total de control de la red interna de una empresa.
Según Lionel, el PetitPotam es posible cuando un atacante abusa de MS-EFSRPC, un protocolo que permite a las máquinas con Windows realizar operaciones con datos cifrados almacenados en sistemas remotos.
MS-EFSRPC (Encrypting File System Remote (EFSRPC))
MS-EFSRPC es el protocolo de cifrado remoto del sistema de archivos de Microsoft y se utiliza para realizar "operaciones de mantenimiento y administración en los datos cifrados que se almacenan de forma remota y se accede a través de una red".
La PoC permite que un atacante envíe solicitudes SMB a la interfaz MS-EFSRPC de un sistema remoto y obligue a la computadora víctima a iniciar un procedimiento de autenticación y compartir su hash de autenticación NTLM. El script se puede usar para forzar un controlador de dominio para autenticarse contra un NTLM remoto bajo el control de un atacante utilizando la API MS-EFSRPC.
Esto se hace a través de LSARPC (puerto TCP 445) y hace que el servidor de destino se conecte a un servidor arbitrario y realice la autenticación NTLM.
Luego, los atacantes pueden recopilar este hash y abusar de él de dos maneras, ya sea usándolo como parte de un ataque de retransmisión NTLM o guardando el hash y descifrándolo fuera de línea para obtener una versión en texto claro de la contraseña de la cuenta de la víctima.
Utilizando Rubeus para obtener un TGT
El atacante ahora puede usar la herramienta Rubeus para obtener un TGT de Kerberos (Ticket Granting Ticket), utilizando la cuenta de la máquina que inicialmente se abusó para hacer la conexión NTLM. Probablemente ya pueda adivinarlo: si esa máquina era un controlador de dominio, podemos obtener el TGT como esa cuenta de máquina controladora de dominio, lo que finalmente permitirá que el atacante comprometa completamente el dominio.
Los investigadores de seguridad han sido rápidos para probar el PoC y su efectividad.
El investigador de seguridad y el creador de Mimikatz, Benjamin Delpy, también probó la nueva técnica, y creó un video demostrando cómo los actores de la amenaza pueden abusar de ella.
Además, las pruebas realizadas por Gilles y varios investigadores de seguridad han demostrado que la desactivación del soporte para MS-EFSRPC no impide que el ataque funcionara. Lionel dice que "no ve esto como una vulnerabilidad, sino más bien el abuso de una función legítima. Función que no debería usar la cuenta de la máquina para autenticarse".
Además de la autenticación SMB, este ataque podría utilizarse para realizar "NTLMV1 Downgrade y relaying en sistemas donde la cuenta de la máquina es el administrador local (SCCM, Exchange Server, por ejemplo)".
El ataque se ha probado contra los sistemas Windows 10, Windows Server 2016 y Windows Server 2019, pero los investigadores de seguridad creen que PetitPotam afecta a la mayoría de las versiones de Windows compatibles en la actualidad.
No se conocen mitigaciones que puedan detener este ataque y Lionel dice que detener el servicio EFS no impide que se explote. El investigador dice que la única forma de mitigar esta técnica es deshabilitar la autenticación de NTLM o permitir protecciones, como la firma de SMB, la firma de LDAP y la unión de canales.
"El problema con este tipo de ataque es que se necesitará una cantidad considerable de tiempo y consideraciones para desarrollar las contramedidas adecuadas", dijo Florian Roth, Jefe de Investigación de Nextron Systems. "Estos son defectos de diseño que son más difíciles de solucionar. Es mucho más fácil simplemente parchear una DLL de controlador de fuente vulnerable o una biblioteca de Internet Explorer", agregó Roth.
Con todo esto, Microsoft está pasando por una mala racha, en cuanto a seguridad. Este es el tercer problema importante de seguridad de Windows revelado durante el último mes después de las vulnerabilidades PrintNightmare y SeriousSAM (HiveNightmare).
Uno de los principales problemas aquí es que los Servicios de certificados de Active Directory utilizan NTLM para la autenticación:
Entonces, dependiendo de cómo tu empresa use ADCS, puedes deshabilitar la autenticación NTLM en el servidor IIS y este ataque en particular ya no será posible. Por supuesto, si no necesitas este servicio en particular (registro de certificado basado en web), mejor elimínalo por completo.
¿Qué son los ataques de retransmisión (relay) NTLM?
- NTLM establece un protocolo de enlace de tres vías durante la autenticación cliente-servidor con el cliente, estableciendo una ruta al servidor y negociando la autenticación.
- El servidor responde al mensaje de negociación del cliente con un desafío, pidiéndole al cliente que cifre una secuencia de caracteres usando un secreto que posee: un hash de su contraseña.
- El cliente envía una respuesta al servidor, que se pone en contacto con un servicio de autenticación de dominio alojado en un controlador de dominio para verificar la respuesta.
En un ataque de retransmisión (relay) NTLM, un atacante establece una posición entre el cliente y el servidor en la red e intercepta el tráfico de autenticación. Las solicitudes de autenticación del cliente son enviadas al servidor por el atacante, de manera similar, los desafíos se transmiten al cliente y las respuestas de autenticación válidas al desafío del cliente se envían de vuelta al servidor, lo que permite al atacante, en lugar del cliente, autenticarse utilizando los datos y credenciales del cliente.
En los ataques de relay, el cliente cree que está negociando con el servidor de destino al que desea autenticarse. Mientras tanto, el servidor cree que el atacante es un cliente legítimo que intenta autenticarse.
Fuentes:
https://blog.segu-info.com.ar/2021/07/nuevo-ataque-petitpotam-obliga-windows.html
https://isc.sans.edu/diary/27668
Vía:
BC | The Record
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.