Conjunto de vulnerabilidades en AD permite escalamiento de privilegios

En el Patch Tuesday del mes de Noviembre de Microsoft se publicaron diferentes vulnerabilidades entre las que destacan 2 CVE relacionados a AD, que en su conjunto pueden ser utilizados para la apropiación y/o suplantación de un servidor de AD dentro de una red. Al pasar los días estas vulnerabilidades han sido ampliamente explotadas por atacantes alrededor del mundo principalmente mediante herramientas dispuestas por usuarios de forma pública.

Sin embargo, para llevar a cabo esta explotación de vulnerabilidad, el atacante debe en primera instancia conseguir acceso a un equipo dentro de la organización, por lo que previamente se deben haber vulnerado múltiples capas de seguridad en la red. Cabe mencionar que estas vulnerabilidades se han masificado cuando ya existen versiones de parchado disponibles.

Publicación de  Entel CyberSecure 21 Diciembre

Vulnerabilidades

CVE-2021-42287
CVSS: 3,1
Base score NIST: 8,8 
Vulnerabilidad de elevación de privilegios de los servicios de dominio de Active Directory

De acuerdo a lo informado por Microsoft esta vulnerabilidad permite la omisión de seguridad que afecta al Certificado de atributo de privilegio de Kerberos (PAC). Esta falla dentro del sistema se gatilla a raíz de la mala configuración de KDC, lo cual permite que cualquier cuenta dentro de un equipo, se haga pasar por algún dominio(s) de AD.

CVE-2021-42278
CVSS: 3,1
Base score NIST: 8,8
Vulnerabilidad de elevación de privilegios de los servicios de dominio de Active Directory

De acuerdo con lo informado por Microsoft esta vulnerabilidad se desencadena en un problema de omisión de seguridad, el cual permite a los atacantes tomar el control de un controlador de dominio, esto al hacer uso de la suplantación de sAMAccountName.

Ambas vulnerabilidades mencionadas anteriormente permiten a un atacante escalar privilegios dentro de un administrador de dominios de los servicios de Windows Active Directory que se encuentre vulnerable (sin parches correspondientes).

¿Qué son los administradores de Dominio?

En los sistemas Windows, son usuarios que tienen los privilegios para modificar las configuraciones de los Active Directory, estos pueden modificar cualquier contenido que se encuentre en estos. Una de las tareas relevantes que estos pueden realizar son la creación, modificación y eliminación de usuarios. A su vez tienen acceso a controlar la autorización y autenticación de los servicios de Windows.

La combinación de ambas vulnerabilidades permite a un atacante establecer una ruta directa hacia un usuario con privilegios de administrador, lo que implica una elevación de privilegios en forma rápida y sin muchos obstáculos, lo que si dentro de esta escalada de ´privilegios el atacante debe comprometer previamente a un usuario con privilegios de “usuario” dentro del dominio. 

Se debe tener en cuenta que, si un atacante se enfoca o apunta sus ataques al sistema que resguarda los datos asociados a la autorización y autenticación de cuentas, podría desencadenar en un compromiso masivo de una organización. Recordando que este sistema de administración de cuentas es uno de los más utilizados hoy en día en las diferentes organizaciones, razón por la cual debe mantenerse seguro y en constante actualización.

Un ataque exitoso de este tipo permite a un atacante como se dice normalmente “Obtener las llaves del reino”, esto haciendo referencia a que posterior al éxito de este ataque se puede realizar prácticamente cualquier tarea dentro de la organización afectada.

Explotación

¿Qué condiciones se deben cumplir?

De acuerdo a la información oficial entregada por Microsoft, para la explotación de estas vulnerabilidades es posible hacerlo mediante la red involucrando una alta complejidad, bajos niveles de privilegios y sin la necesidad de interacción del usuario del equipo afectado.

Detalladamente para poder explotar esta vulnerabilidad es necesaria la existencia de un AD sin parchar, una cuenta de usuario válida dentro del dominio y un valor Machine Account Quota (MAQ) superior a 0 (superior a cero por defecto).

• MAQ: es un atributo de dominio por defecto que le permite a los usuarios sin privilegios añadir hasta 10 equipos a un dominio de AD

Sumado a esto se entiende que el atacante debe en primera instancia conseguir acceso a un equipo dentro de la organización por lo que previamente se deben haber vulnerado múltiples capas de seguridad en la red, sin embargo, un bypass a esto podría ocurrir cuando el ataque se ejecuta desde dentro de la red como por ejemplo, un insider.

Herramientas

Debido a la criticidad de estas vulnerabilidades, múltiples usuarios han lanzado públicamente sus herramientas automatizaciones para facilitar la explotación.

Cabe destacar que las herramientas disponibles no son exploits propiamente tal y pese a que disminuyen considerablemente la complejidad de ejecución del ataque, requiere de habilidades que permitan capturar un equipo y desplegar una o más herramientas sin ser detectado por la seguridad local o perimetral

Windows

• https://github.com/Ridter/noPac
• https://github.com/cube0x0/noPac
• https://github.com/ricardojba/Invoke-noPac
• https://github.com/WazeHell/sam-the-admin
• https://github.com/Kevin-Robertson/Powermad/
• https://github.com/GhostPack/Rubeus
• https://github.com/gentilkiwi/mimikatz

Linux

• https://github.com/dirkjanm/krbrelayx
• https://github.com/SecureAuthCorp/impacket

Se recomienda lo siguiente:

• Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.
  • Si bien existen medidas mitigatorias como la modificación del Machine Account Quota (MAQ) a un valor cero (0), esta acción no garantiza su seguridad.