Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
18/07/2014
Posible fallo en Active Directory de Microsoft permite cambiar contraseñas de víctimas
Un fallo en Active Directory de Microsoft (servicio de gerenciamiento de usuarios, grupos y equipos) permitiría a un atacante cambiar la contraseña de la víctima y acceder en su nombre a diversas herramientas corporativas: a través del uso de herramientas gratuitas de pentesting como WCE o Mimikatz, podría robar la hash NTLM de una víctima, forzándola a acceder a la red corporativa utilizando un nivel de cifrado reducido. De esta forma, es posible cambiarle la contraseña de acceso a servicios como el cliente de correo electrónico Outlook Web Access y RDP (Protocolo de Acceso Remoto).
Tal Be’ry, vicepresidente de la empresa de seguridad de Israel Aorato, detalló el método con el cual al acceder a la red corporativa utilizando estos accesos, el atacante estaría personificando la víctima, y los daños serían limitados solamente por los privilegios que tenía; es decir, si la víctima fuese un Administrador de Dominio, el atacante tendría privilegios para robar información sensible, causar daños casi irreparables a la red corporativa y limitar el acceso de los demás Administradores, entre otras cosas.
En su blog, Be’ry explica que estos ataques no dejan rastros en los registros de Windows:“Descubrimos que los registros no revelan la problemática de la disminución del nivel de cifrado”, y agregó: “Las pistas cruciales del ataque no son percibidas. Si los registros son fundamentales para la seguridad de un entorno, en este escenario no hay forma de detectar ataques como estos”.