DELEGACIÓN NO RESTRICTIVA – De Usuario Regular A Administrador De Dominio En 5 Minutos.

DELEGACIÓN NO RESTRICTIVA – Aquí es donde entramos en un terreno de difícil comprensión para administradores de sistemas y developers. Haré mi mejor intento en explicar cómo funciona la Delegación No Restrictiva para que podamos entender el alcance de esta vulnerabilidad; pero desde ya, vale la pena mencionar que el único punto que importa a estas alturas es uno: REMUEVE LA DELEGACIÓN NO RESTRICTIVA DE TU DOMINIO LO ANTES POSIBLE SI QUIERES QUE ESTE SEA MAS SEGURO. Veamos…

La delegación de Kerberos es una función que permite que una aplicación reutilice las credenciales de un usuario para acceder a recursos alojados en un servidor diferente. En palabras simples, la delegación permite tener mas acceso que los necesarios para un usuario o para un computador. La delegación de Kerberos viene en distintos sabores y modalidades, puede ser utilizada, como ya mencionamos, para proveer mas acceso a usuario y computadores, y puede ser no restringida, restringida, y basada en recursos. Esta vez analizaremos la versión no restrictiva.

El problema con la delegación no restrictiva es que, valga la redundancia, no esta restringida, y en el fondo permite a un objeto dentro del dominio suplantar otro objeto para obtener acceso a un recurso del sistema. Ahora, ¿Qué sucedería si el atacante pudiese usar eso objeto para suplantar otro objeto y obtener más acceso dentro del sistema, más aún, si este proceso no está restringido?, ¿Estas entendiendo ahora porque es tan peligroso?

Ahora, en términos prácticos, ¿qué es exactamente lo que hace que esta configuración se convierta en una vulnerabilidad? Esto está directamente relacionado en la manera en cómo Windows maneja la configuración de los boletos de autenticación llamados TGT y TGS. Para más detalles sobre el proceso de autenticación de Kerberos y boletos TGT y TGS te invito a examinar:

https://seguridad-ofensiva.com/blog/directorioactivoseguridad/kerberoasting/

Al momento en que un administrador de sistemas configura la delegación no restrictiva en un servidor que tiene alojado un servicio específico, el controlador de dominio coloca una copia del boleto TGT del usuario en el boleto de servicio llamado TGS; cada vez que alguien se conecte a ese objeto, el boleto TGT es guardado en la memoria y este puede ser usado mas tarde como medio de suplantación con el fin de ACCEDER AL CONTROLADOR DE DOMINIO.

DELEGACIÓN NO RESTRICTIVA – Anatomia de un ataque interno

  1. Un lunes por la mañana, el administrador de sistemas del dominio “NOTANSEGURO.COM”, se vio en la necesidad de asignar delegación al computador WIN10ES. Este es un proceso con el cual el no estaba muy familiarizado y considero que era más fácil elegir la opción “Confiar en este equipo para la delegación a cualquier servicio (solo Kerberos)”. En otras palabras, delegación no restrictiva;

DELEGACIÓN NO RESTRICTIVA

El usuario del computador “WIN10ES”, es “usuario.vulnerable”, este usuario permitió que un atacante entrara a la red interna a través de un phishing email, un ataque USB, o a través de su contraseña de usuario que es bastante débil.

2. Es en este momento, cuando el atacante empieza la enumeración del sistema usando los permisos de “usuario.vulnerable”, descubriendo que este no tiene ningún         privilegio especial:

3. El atacante, nunca sintiéndose disminuido por ningún resultado (por eso se dedica a lo que se dedica), logra identificar en su proceso de enumeración que el computador WIN10ES, que es precisamente el computador que su victima inicial ocupa, este configurado para delegación:

El atacante, entendiendo que este vector de ataque lo puede convertir en el administrador del sistema, decide escalar los privilegios en el computador local* y descargar sus herramientas usando cualquiera de las herramientas disponibles en el sistema de Windows para ese propósito como PowerShell, CMD, o CertUtil.

*Para saber más sobre los procesos de escalación de privilegios, te invito a que visites:

https://seguridad-ofensiva.com/blog/category/escalacion-de-privilegios/

4. Al conseguir los privilegios deseados en el computador local, el atacante podrá deshabilitar antivirus, firewall, o Políticas de Grupo locales (por eso es tan importante la identificación de las vulnerabilidades de escalación de privilegios locales y su remediación oportuna) y utilizar una fantástica herramienta creada por Will Schroeder, llamada Rubeus. Rubeus fue construida con un código abierto, permitiendo que su código sea manipulado a voluntad las veces que sea necesario para no ser detectado por antivirus.

Junto a ello, decide hacer un llamado al controlador de dominio simulando el envió de un print job, usando otra herramienta de código abierto llamada SpoolSample creada por Lee Christensen. (Estas dos herramientas fueron utilizadas desde el computador vulnerable al cual el atacante tuvo acceso desde que el usuario “usuario.vulnerable” cometió el error de permitirle el acceso).

5. Con estas acciones, Rubeus recibe el tan esperado boleto TGT:

6. Desde, este punto, todo es fiesta y tragos para el atacante, porque el boleto ya estando en la memoria del computador WIN10ES y el corriendo en ese computador…

…solo necesita usar otros dos procesos llamados DCSYNC y Kerberos Golden en combinación para obtener un control total sobre el controlador de dominio (Muy pronto verán en el blog de Seguridad-Ofensiva https://seguridad-ofensiva.com/blog/ información detallada sobre estos dos procesos mencionados):

DCSYNC:

Kerberos Golden:

7. Lo que le permite al atacante suplantar finalmente la identidad DEL ADMINISTRADOR DEL DOMINIO y TENER ACCESO AL CONTROLADOR DE DOMINIO solo utilizando UNA DELEGACION NO RESTRICTIVA.

Tiempo de las recomendaciones a nuestros queridos lectores: Deshabiliten todas las delegaciones no restrictivas de sus dominios y nunca configuren este tipo de delegaciones.

Como podemos ver nuevamente, hay desconfiguraciones que no son fáciles de descubrir en un dominio que pueden ser la causa de un gran problema donde la seguridad del dominio, la reputación y los activos de la empresa están en juego. En Seguridad-Ofensiva damos atención a estas configuraciones inseguras con el fin de darle una solución antes de que alguien más tome ventaja de ellas.

Si desean saber más detalles en relación con este ataque y sus posibles mitigaciones, por favor contáctenos a [email protected]. Sera un placer para nosotros darle mas detalles para incrementar la seguridad de su ambiente tecnológico.

¿Cómo Seguridad-Ofensiva puede ayudarme a mantener mi dominio libre de vulnerabilidades internas?

En Seguridad-Ofensiva hemos prestado atención a la situación real de los dominios. Entendemos que muchas veces los administradores de dominio no tienen tiempo para dedicarse al estudio y la búsqueda de vulnerabilidades tan peligrosas como esta porque están ocupados dando soporte a los empleados, creando nuevos usuarios o reemplazando computadores. Si ese es el caso de su departamento de tecnología, lo invitamos a que nos contacte para que de esa forma podamos contarle de nuestros procedimientos NO INVASIVOS. Nuestra intención es darle una solución real a las vulnerabilidades internas a las cuales los antivirus no pueden identificar. Sírvase contactarnos a [email protected]

Si desea conocer más de nuestros servicios especializados en la prevención de vulnerabilidades en redes internas lo invitamos a visitar: https://seguridad-ofensiva.com/pruebas-de-penetracion-internas

Nuestro Canal de YouTube

Estamos aquí para evaluar e incrementar la seguridad de su entorno tecnológico.

Leave a Reply

Your email address will not be published. Required fields are marked *