Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon Vulnerabilidades Directorio Activo permiten hackear controlador de dominio en Windows


 Microsoft ha publicado un aviso fuera de ciclo de dos vulnerabilidades publicadas en noviembre y que, combinadas, podrían permitir a un atacante la escalada de privilegios de dominio. Las pruebas de concepto se han dado a conocer públicamente en diciembre.La cadena de vulnerabilidades (NoPaC, sAMAccountName) que está pasando algo desapercibida pero mediante la cual cualquier persona dentro de la red podría usar para hackear un DC. Hablamos de CVE-2021-42287 y CVE-2021-42278



Vulnerabilidad Active Directory permiten hackear los controladores de dominio de Windows

Microsoft insta a los clientes a parchear dos vulnerabilidades de seguridad en los controladores de dominio de Active Directory que abordó en noviembre luego de la disponibilidad de una herramienta de prueba de concepto (PoC) el 12 de diciembre.

Las dos vulnerabilidades, rastreadas como CVE-2021-42278 y CVE-2021-42287, tienen una calificación de gravedad de 7.5 de un máximo de 10 y se refieren a una falla de escalada de privilegios que afecta al componente de Servicios de dominio de Active Directory (AD DS). Andrew Bartlett, de Catalyst IT, se acredita con el descubrimiento y la notificación de ambos errores.

Active Directory es un servicio de directorio que se ejecuta en Microsoft Windows Server y se utiliza para la gestión de identidades y accesos. Aunque el gigante tecnológico marcó las deficiencias como "explotación menos probable" en su evaluación, la divulgación pública de la PoC ha provocado nuevos llamamientos para aplicar las correcciones para mitigar cualquier posible explotación por parte de los actores de amenazas.

Mientras que CVE-2021-42278 permite a un atacante manipular el atributo SAM-Account-Name, que se utiliza para iniciar sesión a un usuario en sistemas en el dominio de Active Directory, CVE-2021-42287 permite hacerse pasar por los controladores de dominio. Esto efectivamente otorga a un mal actor con credenciales de usuario de dominio para obtener acceso como usuario administrador de dominio.

"Al combinar estas dos vulnerabilidades, un atacante puede crear una ruta directa a un usuario administrador de dominio en un entorno de Active Directory que no ha aplicado estas nuevas actualizaciones", dijo el gerente de productos senior de Microsoft, Daniel Naim. "Este ataque de escalada permite a los atacantes elevar fácilmente sus privilegios a los de un administrador de dominio una vez que comprometen a un usuario normal en el dominio".

La empresa con sede en Redmond también ha proporcionado una guía paso a paso para ayudar a los usuarios a determinar si las vulnerabilidades podrían haber sido explotadas en sus entornos. "Como siempre, recomendamos encarecidamente implementar los últimos parches en los controladores de dominio lo antes posible", dijo Microsoft. 

Microsoft y CERT-EU recomiendan parchear los servidores afectados para evitar cualquier compromiso. Además, es recomendable la comprobación de un posible compromiso anterior.

Microsoft ofrece una guía para buscar un posible compromiso mediante la ejecución de consultas de Threat Hunting en Microsoft 365 Defender:

CVE-2021-42278 – SAM Name impersonation



IdentityDirectoryEvents | where Timestamp > ago(1d) | where ActionType == "SAM Account Name changed" | extend FROMSAM = parse_json(AdditionalFields)['FROM SAM Account Name'] | extend TOSAM = parse_json(AdditionalFields)['TO SAM Account Name'] | where (FROMSAM has "$" and TOSAM !has "$") or TOSAM in ("DC1", "DC2", "DC3", "DC4") // DC Names in the org | project Timestamp, Application, ActionType, TargetDeviceName, FROMSAM, TOSAM, ReportId, AdditionalFields
  • Sustituir el área marcada por la convención de nomenclatura de sus controladores de dominio.
  • Ejecutar la consulta y analizar los resultados que contienen los dispositivos afectados. Puede utilizar Windows Event 4741 para encontrar el creador de estos equipos, si fueron creados recientemente.
  • Investigar los ordenadores comprometidos para determinar si los atacantes han desarrollado y distribuido exploits para las vulnerabilidades.

Detalles vulnerabilidad

La combinación de estas dos vulnerabilidades podría permitir a un atacante la escalada de privilegios de dominio:

  • Active Directory (AD) utiliza varios esquemas de nomenclatura para un objeto determinado, como userPrincipalName (UPN) y sAMAccountName (SAM-Account), que suelen terminar con un '$' en su nombre para distinguir entre 'user objects' y 'computer objects'. No hay restricciones o validaciones para cambiar este atributo e incluir o no el carácter $, por lo que con la configuración por defecto, un usuario normal tiene permisos para modificar una cuenta de máquina (hasta 10 máquinas) y para editar su atributo sAMAccountName. Se ha asignado el identificador CVE-2021-42278.

CVE-2021-42287 - KDC bamboozling

  • Cuando se realiza una autenticación mediante Kerberos, se solicita el Ticket-Granting-Ticket (TGT) y el Ticket-Granting-Service (TGS) desde el Centro de Distribución de Claves (KDC). En caso de que se solicite un TGS que no se haya podido encontrar, el KDC intentará buscarla de nuevo con un $ al final. Un atacante podría crear una cuenta de máquina, renombrar su nombre de cuenta SAM con el nombre de un Controlador de Dominio sin el $ final y solicitar un TGT. Luego, el atacante podría renombrar el nombre de la cuenta SAM con un nombre diferente, y solicitar un ticket TGS presentando el TGT válido para que, durante el proceso de solicitud, KDC emita un ticket utilizando los privilegios del Controlador de Dominio suplantado. Se ha asignado el identificador CVE-2021-42287 para esta vulnerabilidad.

Productos afectados - Versiones Windows

  • Windows Server 2012 R2 (Server Core Installation)
  • Windows Server 2012 R2
  • Windows Server 2012 (Server Core Installation)
  • Windows Server 2012
  • Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
  • Windows Server 2008 R2 for x64-based Systems Service Pack 1
  • Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
  • Windows Server 2008 for x64-based Systems Service Pack 2
  • Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
  • Windows Server 2008 for 32-bit Systems Service Pack 2
  • Windows Server 2016 (Server Core installation)
  • Windows Server 2016
  • Windows Server, versión 20H2 (Server Core Installation)
  • Windows Server, versión 2004 (Server Core installation)
  • Windows Server 2022 (Server Core installation)
  • Windows Server 2022
  • Windows Server 2019 (Server Core installation)
  • Windows Server 2019

0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.