Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
18/07/2014
Possible error en Active Directory de Microsoft permet canviar contrasenyes de víctimes
Un error en Active Directory de Microsoft (servici de gerenciament d’usuaris, grups i equips) permetria a un atacant canviar la contrasenya de la víctima i accedir en nom seu a diverses eines corporatives: a través de l’ús d'eines gratuïtes de pentesting com WCE o Mimikatz, podria robar la funció resum (hash) NTLM d’una víctima per a forçar-la a accedir a la xarxa corporativa utilitzant un nivell d'encriptació reduït. D’esta manera, és possible canviar-li la contrasenya d’accés a servicis com el client de correu electrònic Outlook Web Access i RDP (Protocol d’Accés Remot).
Tal Be’ry, vicepresident de l’empresa de seguretat d’Israel Aorato, va detallar el mètode amb el qual, en accedir a la xarxa corporativa utilitzant estos accessos, l'atacant estaria personificant la víctima, i els danys serien limitats només pels privilegis que tenia; és a dir, si la víctima fóra un administrador de domini, l’atacant tindria privilegis per a robar informació sensible, causar danys quasi irreparables a la xarxa corporativa i limitar l’accés dels altres administradors, entre altres coses.
En el seu blog, Be’ry explica que estos atacs no deixen rastres en els registres de Windows:“Descobrim que els registres no revelen la problemàtica de la disminució del nivell d'encriptació”, i va agregar: “Les pistes crucials de l’atac no són percebudes. Si els registres són fonamentals per a la seguretat d’un entorn, en este escenari no hi ha manera de detectar atacs com estos”.