Vulnerabilidad NLTM Relay en MS Windows es ampliamente explotada

13 Mayo 2022
Crítico

 

Cada incidente de seguridad y violación de datos es único: una combinación singular de sistemas vulnerables y mal configurados, activos comprometidos, motivaciones de atacantes y oportunidades.

En estos días, una vulnerabilidad detectada en 2021 y abordada en el boletín “PetitPotam, vulnerabilidad de Windows permite la ejecución de un ataque de retransmisión NTLM”, ha sido foco de explotación y diferentes pruebas de concepto, ya que Microsoft ha puesto esta falla nuevamente en discusión, al liberar un parche que supuestamente si remediaría la vulnerabilidad reportada el año pasado (CVE-2021-36942) y que en reciente Patch Tuesday se dió a conocer como CVE-2022-26925.

A pesar de sus muchas debilidades de seguridad, NTLM todavía es compatible con muchos sistemas y aplicaciones heredados. Más de 20 años después de la introducción del "reemplazo" de NTLM (Kerberos), la retrocompatibilidad con los sistemas y aplicaciones heredados de Windows ha mantenido a NTLM a raya, agregando complejidad y debilidad a las implementaciones de Active Directory en particular.

 

Es un conjunto de protocolos de seguridad de Microsoft destinados a proporcionar autenticación, integridad y confidencialidad a los usuarios.

 

Proceso de autenticación NTLM

 

El protocolo NTLM estipula que el cliente debe autenticarse con un nombre de usuario y la contraseña correspondiente. Para ello, se genera un intercambio entre el dispositivo del usuario y un servidor. Este último conoce los datos de inicio de sesión, por lo que puede comprobar la solicitud de acceso y, a continuación, permitirlo.

NTLM es vulnerable por varias razones, en primer lugar, porque no admite métodos criptográficos modernos como AES o SHA-256, lo que le hace vulnerable a ataques de “offline cracking” usando herramientas como HashCat. 

Además, los valores hash de NTLM se pueden comparar con contraseñas alfanuméricas utilizando las llamadas "Rainbow Tables" de contraseñas y hashes compilados a partir de filtraciones de datos anteriores. Las particularidades acerca de cómo NTLM crea hashes de contraseña combinados con el uso de Rainbow Tables y sistemas informáticos distribuidos significan que los hashes NTLM para contraseñas de cualquier longitud se pueden descifrar en minutos u horas, y con un bajo costo para los atacantes.

 

Ataques de NTLM Relay

Los ataques de NTLM Relay permiten a los atacantes sentarse entre clientes y servidores y retransmitir solicitudes de autenticación validadas para acceder a los servicios de red.A diferencia de NTLM, un protocolo de desafío y respuesta, la autenticación mutua de Kerberos se considera más segura y ha sido el estándar de facto en Windows desde Windows 2000.

 

Ataque NTLM Relay

 

Microsoft recomienda una serie de mitigaciones para los ataques de retransmisión NTLM, incluida la firma SMB y LDAP, y EPA.

La mejor solución para la inseguridad de NTLM es dejar de usar NTLM dentro de una organización, considerándolo “descontinuado”.

 

PetitPotam

La vulnerabilidad denominada "PetitPotam", fue descubierta en 2021 por el investigador de seguridad Gilles Lionel, quien compartió detalles técnicos y código de prueba de concepto (PoC). La PoC permite que un atacante envíe solicitudes SMB a la interfaz MS-EFSRPC de un sistema remoto y obligue a la computadora víctima a iniciar un procedimiento de autenticación y compartir su hash de autenticación NTLM. 

Gilles señaló que la falla funciona al obligar a los hosts de Windows a autenticarse en otras máquinas a través de la función MS-EFSRPC EfsRpcOpenFileRaw".

 

Ataque explotando PetitPotam con Impacket

 

MS-EFSRPC es el protocolo remoto del sistema de archivos cifrados de Microsoft que se utiliza para realizar "operaciones de mantenimiento y administración de datos cifrados que se almacenan de forma remota y se accede a ellos a través de una red".

Cabe destacar que las pruebas realizadas por Gilles y varios investigadores de seguridad han demostrado que la desactivación del soporte para MS-EFSRPC no impide que el ataque funcionara. Lionel dice que “no ve esto como una vulnerabilidad, sino más bien el abuso de una función legítima. Función que no debería usar la cuenta de la máquina para autenticarse”

 

Vulnerabilidad sin corregir

Luego de la liberación del “Patch Tuesday”, llamó la atención que nuevamente Microsoft abordara la vulnerabilidad reportada en 2021, indicando que en esta versión de correcciones, si habría sido remediada.

Diferentes investigadores efectuaron la comparativa de la vulnerabilidad en las versiones abordadas, concluyendo que se trataría de la misma comunicada en 2021.

 

Comparación vulnerabilidades

 

En este punto, se efectuaron pruebas sobre sistemas operativos MS Windows Server 2016, donde el resultado de ejecución del exploit fué el mismo publicado en 2021 en el descubrimiento de PetitPotam.

 

Explotación de Server 2016 totalmente actualizado

 

La vulnerabilidad, rastreada como CVE-2022-26925 e informada por el investigador Raphael John de Bertelsmann Printing Group, ha sido explotada indiscriminadamente y Microsoft ha estado tratando de mitigar este problema desde entonces. Sin embargo, en este punto,  las correcciones oficiales y las actualizaciones  de seguridad posteriores   no  bloquean por completo todos los vectores de PetitPotam .

Los operadores del ransomware LockFile  han abusado del método de ataque de retransmisión NTLM de PetitPotam  para secuestrar dominios de Windows e implementar cargas maliciosas.

Microsoft aconseja a los administradores de Windows que verifiquen  las mitigaciones de PetitPotam  y las medidas de mitigación  contra los ataques de retransmisión NTLM en los servicios de certificados de Active Directory (AD CS)  para obtener más información sobre cómo proteger sus sistemas de los ataques CVE-2022-26925.

 

Escalamiento de privilegios a través autenticación forzada

Usando este nuevo vector de ataque, los actores de amenazas pueden interceptar solicitudes de autenticación legítimas que pueden usarse para aumentar los privilegios, lo que probablemente permita comprometer un dominio completo.

Los atacantes sólo pueden abusar de esta falla de seguridad en ataques de tipo MITM de alta complejidad, en los que deben poder interceptar el tráfico entre la víctima y un controlador de dominio para leer o modificar las comunicaciones de red.

La instalación de estas actualizaciones también tiene inconvenientes en los sistemas que ejecutan Windows 7 Service Pack 1 y Windows Server 2008 R2 Service Pack 1, ya que dañará el software de copia de seguridad de algunos proveedores.

 

Se recomienda lo siguiente:

  • Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.

 

El listado de las CVE se adjunta a continuación:


Tags: #Microsoft #Windows #0-Day #Vulnerabilidad #NLTM #PetitPotam


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.