Active Directory es un servicio utilizado por todos los
Windows Server que permite crear y controlar objetos como usuarios, grupos y
equipos con el fin de poder administrar todos los inicios de sesión y todas las
políticas de los equipos conectados a la red. Un fallo en este servicio podría
permitir a un atacante tener el control sobre el servidor, tal como ha
ocurrido.
Un grupo de investigadores de seguridad de la empresa
Aorato ha detectado una herramienta de libre acceso que permite a cualquier
atacante apoderarse de los credenciales de acceso de cualquier usuario.
Actualmente los protocolos utilizados para los inicios de sesión son NTLM y
Kerberos. NTLM es un protocolo ya viejo y obsoleto que apenas se utiliza, pero
sigue estando presente. Kerberos, por el contrario, es el protocolo más nuevo, seguro
y que mayor control aporta para el inicio de sesión y es utilizado por todos
los sistemas actualizados por encima de Windows XP SP3.
Detalle de la vulnerabilidad
- La vulnerabilidad reside en la necesidad de ofrecer Active Directory compatibilidad entre ambos protocolos que obliga a que NTLM esté habilitado en el sistema y que el algoritmo RC4-HMAC utilizado en Kerberos acepte el hash NTLM como su clave para poder autenticarse. Con esto, usuarios no autorizados pueden conseguir el acceso a un sistema simplemente utilizando el hash desde uno de los equipos de la red.
- Cuando el usuario malintencionado tiene la contraseña en su poder, automáticamente podrá iniciar sesión en el servidor suplantando completamente su actividad con la de la víctima. Este método de ataque es totalmente invisible y el pirata informático tendría total control sobre el apartado de Active Directory pudiendo acceder a los aspectos restringidos por defecto y cambiar la contraseña por otra que él quiera para poderse conectar más adelante.
- Los investigadores reportaron esta vulnerabilidad de Active Directory a Microsoft y la compañía les ha confirmado que se trata de un “fallo muy conocido” pero que, según parece, no van a solucionar.
- Aunque en entornos profesionales se suele utilizar Linux como sistema operativo para servidores debido a las ventajas que ofrece este en cuanto a seguridad y, sobre todo, costes, el mapa de usuarios de Windows Server con Active Directory es bastante grande por lo que los objetivos potenciales de los piratas informáticos deberán prestar atención y tomar medidas si no quieren ser víctimas de estos ataques.
