SAN FRANCISCO, June 12, 2019 (GLOBE NEWSWIRE) -- Preempt, proveedor líder de acceso condicional para la prevención de amenazas en tiempo real, anunció hoy que su equipo de investigación encontró dos vulnerabilidades críticas de Microsoft que consisten en tres fallas lógicas en NTLM, el protocolo de autenticación de propiedad exclusiva de la compañía. Estas vulnerabilidades permiten a los atacantes ejecutar códigos maliciosos de forma remota en cualquier máquina con Windows o autenticarse en cualquier servidor web que admita la autenticación integrada de Windows (Windows Integrated Authentication, WIA), como Exchange o ADFS. La investigación muestra que todas las versiones de Windows son vulnerables.
NTLM es susceptible a ataques de retransmisión (relay attacks), lo que permite a los actores capturar una autenticación y retransmitirla a otro servidor, otorgándoles la capacidad de realizar operaciones en el servidor remoto utilizando los privilegios del usuario autenticado. La retransmisión NTLM (NTLM Relay) es una de las técnicas de ataque más comunes que se utilizan en los entornos de Active Directory, donde el atacante compromete una máquina y luego se mueve lateralmente a otras máquinas mediante la autenticación NTLM dirigida al servidor comprometido.
Microsoft previamente desarrolló varias mitigaciones para prevenir los ataques de retransmisión NTLM. Los investigadores de Preempt descubrieron que esas mitigaciones tienen los siguientes defectos que pueden ser explotados por los atacantes:
Para obtener más detalles sobre los riesgos informados de estas fallas, visite el blog de seguridad de Preempt aquí.
“Si bien la retransmisión NTLM es una técnica antigua, las empresas no pueden eliminar completamente el uso del protocolo, ya que esto interferirá con muchas aplicaciones. Por lo tanto, aún representa un riesgo importante para las empresas, en especial si consideramos que se descubren constantemente nuevas vulnerabilidades”, declaró Roman Blachman, director de Tecnología y cofundador de Preempt. “Las empresas deben, en primer lugar, asegurarse de que todos sus sistemas Windows tengan los patch aplicados y estén configurados de forma segura. Además, las organizaciones pueden proteger aún más sus entornos al obtener visibilidad de la red NTLM. Preempt trabaja con sus clientes para garantizar que tengan esta visibilidad y la mejor protección posible”.
Para protegerse contra estas vulnerabilidades, las organizaciones deben hacer lo siguiente:
Los clientes de Preempt ya tienen protecciones contra las vulnerabilidades de NTLM. La plataforma Preempt proporciona una visibilidad completa de la red NTLM, lo que permite a las organizaciones reducir el tráfico de NTLM y analizar la actividad sospechosa de NTLM. Además, Preempt tiene una innovadora capacidad determinista de detección de retransmisión NTLM precursora en la industria, y tiene la capacidad de inspeccionar todas las configuraciones de GPO y alertar sobre configuraciones inseguras. Esta inspección de configuración también está disponible en Preempt Lite, una versión sencilla y gratuita de la Plataforma Preempt. Las organizaciones pueden descargar Preempt Lite aquí y verificar qué áreas de su red son vulnerables.
Estas vulnerabilidades, entre otros temas, serán presentadas por los investigadores de Preempt Yaron Zinar y Marina Simakov en Black Hat USA 2019.
A partir del 11 de junio de 2019, Microsoft lanzó CVE-2019-1040 y CVE-2019-1019 en Patch Tuesday gracias a la divulgación responsable de Preempt de las vulnerabilidades de NTLM.
Acerca de Preempt
Preempt ofrece un enfoque moderno para la autenticación y la protección de la identidad en la empresa Al utilizar tecnología patentada para el acceso condicional, Preempt ayuda a las empresas a optimizar la “limpieza” de la identidad y detener los ataques en tiempo real antes de que afecten a las empresas. Preempt detecta y anticipa amenazas basadas en la identidad, el comportamiento y el riesgo en todas las plataformas de acceso y autenticación en la nube y en las instalaciones. Este enfoque de baja fricción permite a los equipos de seguridad una mayor visibilidad y control sobre las cuentas y el acceso con privilegios, al tiempo que logra el cumplimiento y la resolución automática de incidentes. Más información: www.preempt.com.
Para obtener más información:
Angelique Faul
Angelique@silverjacket.net
513-633-0897