CCN-CERT AV 19/21 Vulnerabilidad crítica en Microsoft

Cabecera
separador
Vulnerabilidad crítica en Microsoft

Fecha de publicación: 26/07/2021
Nivel de peligrosidad: CRÍTICO

La Capacidad de Respuesta ante Incidentes de Seguridad de la Información del Centro Criptológico Nacional, CCN-CERT, avisa de la publicación de una vulnerabilidad crítica en Microsoft.

Microsoft ha hecho público un aviso de seguridad en el que se aborda una vulnerabilidad que potencialmente se puede usar en ataques a controladores de dominio de Windows u otros servidores de Windows. La vulnerabilidad, denominada PetitPotam y a la que todavía no se le ha asignado ningún CVE, es un ataque de retransmisión NTLM, protocolo de autenticación propietario de Microsoft.

Esta vulnerabilidad, descubierta por el investigador de ciberseguridad Lionel Gilles, puede explotarse para obligar a servidores Windows compartir detalles de autenticación NTLM o certificados de autenticación con cualquier usuario. Según el investigador francés, el problema se produce cuando un atacante abusa de MS-EFSRPC, un protocolo que permite a las máquinas con sistemas operativos Windows realizar operaciones con datos cifrados almacenados en sistemas remotos. Por lo tanto, se permite recopilar estos datos y abusar de ellos como parte de un ataque de retransmisión NTLM para obtener acceso a equipos de la misma red interna.

La vulnerabilidad PetitPotam es un ataque diseñado para usarse dentro de grandes redes corporativas, donde los atacantes podrían obligar a los controladores de dominio a deshacerse de sus hashes de contraseña NTLM o certificados de autenticación, lo que podría llevar a la toma completa de los equipos de la red interna de una empresa.

Asimismo, Lionel Gilles ha hecho pública una prueba de concepto (PoC) en la que se muestra el código necesario para explotar la vulnerabilidad de PetitPotam:

En concreto, es un código que obliga a los equipos Windows a autenticarse en otras máquinas a través de la función EfsRpcOpenFileRaw de MS-EFSRPC. Por lo tanto, permite a un atacante enviar solicitudes SMB a la interfaz MS-EFSRPC de un sistema remoto y obligar a la víctima a iniciar un procedimiento de autenticación.

Cabe destacar que un equipo es potencialmente vulnerable si la autenticación NTLM está habilitada en su dominio y se están utilizando los Servicios de certificados de Active Directory (AD CS) con cualquiera de los siguientes servicios:

  • Inscripción web de la autoridad de certificación.
  • Servicio web de inscripción de certificados.

Por el momento, la base de datos del NIST no ha registrado esta vulnerabilidad, por lo que todavía no se le ha asignado puntuación de criticidad según la escala CVSSv3. No obstante, Microsoft ha calificado esta vulnerabilidad como crítica.

Recursos afectados:

El ataque se ha probado con éxito contra los siguientes sistemas:

  • Windows Server 2016.
  • Windows Server 2019.

Sin embargo, varios investigadores de seguridad creen que PetitPotam afecta a la mayoría de las versiones de Windows Server compatibles en la actualidad

Solución a las vulnerabilidades:

Para evitar este tipo de ataques en redes con NTLM habilitado, los administradores de dominio deben asegurarse que los servicios que permiten la autenticación NTLM utilicen protecciones como la Protección Extendida para la Autenticación (EPA).

PetitPotam aprovecha los servidores donde los Servicios de certificados de Active Directory (AD CS) no están configurados con protecciones para ataques de retransmisión NTLM. Las mitigaciones descritas en KB5005413 instruyen a los clientes sobre cómo proteger sus servidores AD CS de tales ataques.

Cabe señalar que las pruebas realizadas por Gilles y varios investigadores de seguridad han demostrado que la desactivación del soporte para MS-EFSRPC no impidió que el ataque funcionara.

Recomendaciones:

El CCN-CERT recomienda encarecidamente a los usuarios y administradores de sistemas que apliquen los parches de seguridad en cuanto se encuentren disponibles, con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos.

Si bien todavía no se han publicado actualizaciones de seguridad para abordar esta vulnerabilidad, Microsoft proporciona medidas de mitigación descritas en el apartado anterior para evitar posibles ataques que aprovechen esta brecha de seguridad.

Referencias:

Atentamente,

Equipo CCN-CERT

 
Avisos

Avisos

Información IMPORTANTE sobre vulnerabilidades, con alto nivel de riesgo, que deben ser atendidas con especial prontitud por parte de las organizaciones potencialmente afectadas.

Alertas

Alertas

Información sobre situaciones que requieren atención INMEDIATA por parte de las organizaciones potencialmente afectadas.

 Sobre CCN-CERT

Política de privacidad

Aviso de Confidencialidad

El presente mensaje va dirigido de manera exclusiva a su destinatario. Si usted no es el destinatario de este mensaje (o la persona responsable de su entrega), considérese advertido de que lo ha recibido por error, así como de la prohibición legal de realizar cualquier tipo de uso, difusión, reenvío, impresión o copia del mismo. Si ha recibido este mensaje por error, por favor notifíquelo al remitente y proceda a destruirlo inmediatamente.

Síganos en redes sociales:
Twitter Linkedin Youtube Telegram
© 2021 Centro Criptológico Nacional, Argentona 30, 28023 MADRID
Si desea cancelar su suscripción a estos boletines pinche aquí
 
Ministerio de Defensa
CNI
CCN
CCN-CERT