Un fallo en Kerberos permite acceder a cuentas revocadas de Windows

Escrito por Rubén Velasco
Seguridad
0

En muchos sistemas, especialmente en empresas grandes, se suelen crear y eliminar muchas cuentas en función de los usuarios que trabajen allí o dejen el puesto de trabajo. Sin embargo, las cuentas que se eliminan no bloquean el acceso de manera inmediata, sino que suelen tardar unas 10 horas en hacerse efectiva la eliminación, período de tiempo durante el cual los sistemas son vulnerables según un último estudio realizado en función de seguridad de Windows.

Los trabajadores que dejan su puesto de trabajo pueden acceder a los sistemas una vez que las cuentas han sido eliminadas e incluso pueden vender la información de acceso a piratas informáticos que pueden utilizar este fallo para obtener acceso a la red corporativa mientras la cuenta sigue activa en los servidores. Si se consigue acceso a esta cuenta, los piratas informáticos podrían llegar a obtener acceso a los datos almacenados en ellas y a los diferentes servicios de red.

Este fallo en el sistema de autenticación de Kerberos está generado por los tickets que eliminan la necesidad de que el usuario proporcione un usuario y una contraseña a la hora de iniciar sesión. Aunque el administrador del sistema elimine la cuenta del usuario en cuestión, el ticket sigue siendo válido durante un período de tiempo, por lo que mientras aún tenga validez el mismo, los usuarios o piratas informáticos podrán lograr acceder a los diferentes servicios, datos y recursos del sistema.

Kerberos-windows-foto-1

Los administradores del sistema deben prestar atención a este hecho y encargarse de monitorizar de forma activa la red. De esta manera deben asociar cada uno de los tickets que asigne Kerberos a una cuenta de usuario con la que se podría identificar en cuestión de segundos el responsable de los accesos. De igual forma, los administradores deben monitorizar todos los cambios de estado y controlar los usuarios identificados en todo momento de manera que si se detecta actividad sospechosa puedan optar por cerrar la conexión antes de que se tenga acceso a la información privada de la empresa.

¿Qué opinas sobre esta vulnerabilidad en el sistema de autenticación por tickets de Kerberos?

Fuente: Seguridad unam