Investigadores de Preempt encuentran dos vulnerabilidades críticas en Microsoft NTLM que permiten la ejecución remota de códigos maliciosos en cualquier máquina con Windows

Tres fallas en el protocolo de autenticación de propiedad exclusiva de Microsoft dan a los atacantes la capacidad de omitir todos los mecanismos de protección NTLM

| Source: Preempt Security Inc Preempt Security Inc

SAN FRANCISCO, June 12, 2019 (GLOBE NEWSWIRE) -- Preempt, proveedor líder de acceso condicional para la prevención de amenazas en tiempo real, anunció hoy que su equipo de investigación encontró dos vulnerabilidades críticas de Microsoft que consisten en tres fallas lógicas en NTLM, el protocolo de autenticación de propiedad exclusiva de la compañía. Estas vulnerabilidades permiten a los atacantes ejecutar códigos maliciosos de forma remota en cualquier máquina con Windows o autenticarse en cualquier servidor web que admita la autenticación integrada de Windows (Windows Integrated Authentication, WIA), como Exchange o ADFS. La investigación muestra que todas las versiones de Windows son vulnerables.

NTLM es susceptible a ataques de retransmisión (relay attacks), lo que permite a los actores capturar una autenticación y retransmitirla a otro servidor, otorgándoles la capacidad de realizar operaciones en el servidor remoto utilizando los privilegios del usuario autenticado. La retransmisión NTLM (NTLM Relay) es una de las técnicas de ataque más comunes que se utilizan en los entornos de Active Directory, donde el atacante compromete una máquina y luego se mueve lateralmente a otras máquinas mediante la autenticación NTLM dirigida al servidor comprometido.

Microsoft previamente desarrolló varias mitigaciones para prevenir los ataques de retransmisión NTLM. Los investigadores de Preempt descubrieron que esas mitigaciones tienen los siguientes defectos que pueden ser explotados por los atacantes:

  • El campo Código de Integridad del Mensaje (Message Integrity Code, MIC) garantiza que los atacantes no manipulen los mensajes NTLM. El bypass descubierto por los investigadores de Preempt permite a los atacantes eliminar la protección 'MIC' y modificar diferentes campos en el flujo de autenticación NTLM, como la negociación de la firma.
  • La firma de sesión de Server Message Block (SMB) evita que los atacantes retransmitan mensajes de autenticación NTLM para establecer sesiones de SMB y de entorno informático distribuido/llamada de procedimiento remoto (Distributed Computing Environment/Remote Procedure Calls, DCE/ RPC). El bypass descubierto por los investigadores de Preempt permite a los atacantes retransmitir las solicitudes de autenticación NTLM a cualquier servidor del dominio, incluidos los controladores de dominio, mientras establecen una sesión firmada para llevar a cabo la ejecución remota de código. Si la autenticación retransmitida es de un usuario con privilegios, esto significa que el dominio está comprometido en su totalidad.
  • La protección mejorada para la autenticación (Enhanced Protection for Authentication, EPA) evita que los atacantes transmitan los mensajes NTLM a las sesiones de seguridad de la capa de transporte (Transport Layer Security, TLS). El bypass descubierto por los investigadores de Preempt permite a los atacantes modificar los mensajes NTLM para generar información de enlace de canal legítima. Esto permite a los atacantes conectarse a varios servidores web utilizando los privilegios del usuario atacado y realizar operaciones como leer los correos electrónicos del usuario (al retransmitir a servidores OWA) o incluso conectarse a recursos en la nube (al retransmitir a servidores ADFS).

Para obtener más detalles sobre los riesgos informados de estas fallas, visite el blog de seguridad de Preempt aquí.

“Si bien la retransmisión NTLM es una técnica antigua, las empresas no pueden eliminar completamente el uso del protocolo, ya que esto interferirá con muchas aplicaciones. Por lo tanto, aún representa un riesgo importante para las empresas, en especial si consideramos que se descubren constantemente nuevas vulnerabilidades”, declaró Roman Blachman, director de Tecnología y cofundador de Preempt. “Las empresas deben, en primer lugar, asegurarse de que todos sus sistemas Windows tengan los patch aplicados y estén configurados de forma segura. Además, las organizaciones pueden proteger aún más sus entornos al obtener visibilidad de la red NTLM. Preempt trabaja con sus clientes para garantizar que tengan esta visibilidad y la mejor protección posible”.

Para protegerse contra estas vulnerabilidades, las organizaciones deben hacer lo siguiente:

  1. Parches: asegúrese de que las estaciones de trabajo y los servidores tengan los parches correctamente aplicados. Sin embargo, es importante tener en cuenta que la aplicación de parches por sí sola no es suficiente, ya que las empresas también deben realizar cambios en la configuración para estar completamente protegidos.
  2. Configuración:
    1. Implemente la firma SMB: para evitar que los atacantes lancen ataques de retransmisión NTLM más simples, active la firma SMB en todas las máquinas de la red.
    2. Bloquee NTLMv1: dado que NTLMv1 se considera significativamente menos seguro, se recomienda bloquearlo completamente mediante la configuración de directivas de grupo (Group Policy Object, GPO) apropiadas.
    3. Implemente la firma LDAP/S: para evitar la retransmisión NTLM en LDAP, implemente la firma LDAP y el enlace del canal LDAPS en los controladores de dominio.
    4. Implemente la EPA: para evitar la retransmisión NTLM en servidores web, refuerce todos los servidores web (OWA, ADFS) para aceptar solo solicitudes con EPA.
  3. Reduzca el uso de NTLM: incluso con una configuración totalmente segura y servidores con parches implementados, NTLM presenta un riesgo significativamente mayor que Kerberos. Se recomienda que elimine NTLM donde no sea necesario.

Los clientes de Preempt ya tienen protecciones contra las vulnerabilidades de NTLM. La plataforma Preempt proporciona una visibilidad completa de la red NTLM, lo que permite a las organizaciones reducir el tráfico de NTLM y analizar la actividad sospechosa de NTLM. Además, Preempt tiene una innovadora capacidad determinista de detección de retransmisión NTLM precursora en la industria, y tiene la capacidad de inspeccionar todas las configuraciones de GPO y alertar sobre configuraciones inseguras. Esta inspección de configuración también está disponible en Preempt Lite, una versión sencilla y gratuita de la Plataforma Preempt. Las organizaciones pueden descargar Preempt Lite aquí y verificar qué áreas de su red son vulnerables.

Estas vulnerabilidades, entre otros temas, serán presentadas por los investigadores de Preempt Yaron Zinar y Marina Simakov en Black Hat USA 2019.

A partir del 11 de junio de 2019, Microsoft lanzó CVE-2019-1040 y CVE-2019-1019 en Patch Tuesday gracias a la divulgación responsable de Preempt de las vulnerabilidades de NTLM.

Acerca de Preempt 
Preempt ofrece un enfoque moderno para la autenticación y la protección de la identidad en la empresa Al utilizar tecnología patentada para el acceso condicional, Preempt ayuda a las empresas a optimizar la “limpieza” de la identidad y detener los ataques en tiempo real antes de que afecten a las empresas. Preempt detecta y anticipa amenazas basadas en la identidad, el comportamiento y el riesgo en todas las plataformas de acceso y autenticación en la nube y en las instalaciones. Este enfoque de baja fricción permite a los equipos de seguridad una mayor visibilidad y control sobre las cuentas y el acceso con privilegios, al tiempo que logra el cumplimiento y la resolución automática de incidentes. Más información: www.preempt.com.

Para obtener más información:
Angelique Faul
Angelique@silverjacket.net
513-633-0897