Un fallo en Active Directory permite cambiar las contraseñas

Escrito por Rubén Velasco
Seguridad

Active Directory es un servicio utilizado por todos los Windows Server que permite crear y controlar objetos como usuarios, grupos y equipos con el fin de poder administrar todos los inicios de sesión y todas las políticas de los equipos conectados a la red. Un fallo en este servicio podría permitir a un atacante tener el control sobre el servidor, tal como ha ocurrido.

Un grupo de investigadores de seguridad de la empresa Aorato ha detectado una herramienta de libre acceso que permite a cualquier atacante apoderarse de los credenciales de acceso de cualquier usuario. Actualmente los protocolos utilizados para los inicios de sesión son NTLM y Kerberos. NTLM es un protocolo ya viejo y obsoleto que apenas se utiliza, pero sigue estando presente. Kerberos, por el contrario, es el protocolo más nuevo, seguro y que mayor control aporta para el inicio de sesión y es utilizado por todos los sistemas actualizados por encima de Windows XP SP3.

La vulnerabilidad reside en la necesidad de ofrecer Active Directory compatibilidad entre ambos protocolos que obliga a que NTLM esté habilitado en el sistema y que el algoritmo RC4-HMAC utilizado en Kerberos acepte el hash NTLM como su clave para poder autenticarse. Con esto, usuarios no autorizados pueden conseguir el acceso a un sistema simplemente utilizando el hash desde uno de los equipos de la red.

Active_Directory_Windows_Server_foto

Cuando el usuario malintencionado tiene la contraseña en su poder, automáticamente podrá iniciar sesión en el servidor suplantando completamente su actividad con la de la víctima. Este método de ataque es totalmente invisible y el pirata informático tendría total control sobre el apartado de Active Directory pudiendo acceder a los aspectos restringidos por defecto y cambiar la contraseña por otra que él quiera para poderse conectar más adelante.

Los investigadores reportaron esta vulnerabilidad de Active Directory a Microsoft y la compañía les ha confirmado que se trata de un “fallo muy conocido” pero que, según parece, no van a solucionar. Aunque en entornos profesionales se suele utilizar Linux como sistema operativo para servidores debido a las ventajas que ofrece este en cuanto a seguridad y, sobre todo, costes, el mapa de usuarios de Windows Server con Active Directory es bastante grande por lo que los objetivos potenciales de los piratas informáticos deberán prestar atención y tomar medidas si no quieren ser víctimas de estos ataques.

¿Qué opinas de la decisión de Microsoft a no solucionar una vulnerabilidad así en un sistema operativo de servidor?

Fuente: Aorato


Últimos análisis

Valoración RZ
8
Valoración RZ
9
Valoración RZ
9
Valoración RZ
10
Valoración RZ
9
Valoración RZ
10
Valoración RZ
7
Valoración RZ
9
Valoración RZ
10