¿Pensaste que tu dominio estaba seguro con una Delegación Restringida asignada a un usuario? De Usuario Regular A Acceso de Administrador En Servidor SQL En 5 Minutos.

Delegación Restringida – Como ya confirmamos que una “Delegación No Restrictiva” configurada en un dominio puede permitir a un atacante ingresar a los contralores de dominio con permisos de Administrador en:

https://seguridad-ofensiva.com/blog/directorioactivoseguridad/delegacion-no-restrictiva/

Es hora de que nos enfoquemos en el estudio de las “Delegaciones Restrictivas” que son asignadas a los usuarios y a los computadores del dominio. Para entender cómo funcionan las delegaciones restrictivas es importante entender cómo funciona Kerberos. Te invitamos a que puedas conocer más de este sistema de autenticación llamado Kerberos en:

https://seguridad-ofensiva.com/blog/directorioactivoseguridad/kerberoasting/

Las delegaciones restringidas se introdujeron en los servidores Windows 2003 para proporcionar una forma más segura de delegación que podría ser utilizada por los servicios del sistema. Cuando se configura, la delegación restringida restringe los servicios en los que el servidor especificado puede actuar en nombre de un usuario.

El único que podía configurar delegaciones restringidas era el administrador del dominio, pero en versiones posteriores como en servidores Windows 2012 R2 y Windows 2012, la capacidad de configurar la delegación restringida para el servicio se ha transferido del administrador del dominio al administrador del servicio. De esta forma, el administrador del servicio puede permitir o denegar los servicios de front-end.

Todo esto para conseguir un solo objetivo:

Que los administradores de servicios tengan la capacidad de especificar y hacer cumplir los límites de confianza de la aplicación al limitar el alcance donde los servicios de la aplicación pueden actuar en nombre del usuario.

Ahora, es tiempo de saber que tan segura para un dominio es una delegación restrictiva configurada en un usuario…

Delegación Restringida – Anatomia de un ataque interno

  1. Un lunes por la mañana, el administrador de servicios del dominio “NOTANSEGURO.COM”, se vio en la necesidad de asignar una delegación restrictiva al usuario “USUARIO.SQL” para acceder al servicio CIFS en el servidor “SQL-SERVER.notanseguro.com”; este es el servidor donde están localizadas las bases de datos de la empresa.
Delegación Restringida

Delegación Restringida

Con esta configuración; en teoría, es posible para el atacante poder autenticarse como cualquier usuario en el servicio CIFS de SQL-SERVER

Es importante mencionar que cuando una cuenta de servicio está configurada para la delegación “Use any authentication protocol” o en español: “Usar cualquier protocolo de autenticación”, significa que la cuenta de servicio puede delegar sin tener que demostrar que un usuario se autenticó en ella, simplemente diciendo: “Soy el administrador, ¡confía en mí!”. Suena loco, pero es cierto. Lo que sucede es que la restricción se aplica a un servicio específico; eso es lo que único que hace la diferencia entre una delegación no restrictiva y una restrictiva.

Antes de que sigamos con el análisis, es bueno aclarar que es el servicio CIFS. CIFS es el acrónimo de “Common Internet File System”, el cual es un protocolo para compartir archivos que proporciona un mecanismo abierto y multiplataforma para solicitar servicios y archivos de un servidor de red. CIFS se basa en la versión mejorada del protocolo SMB (Server Message Block) de Microsoft para compartir archivos de Internet e intranet.

  1. En este momento, otro usuario que trabaja en la empresa recibe un phishing email de un atacante que dedico el último mes a codificar el mejor phishing email de su carrera de hacking y procedió a enviarlo al usuario “USUARIO.VULNERABLE”; si, este usuario abrió el email y dio acceso al atacante que ahora tiene los mismos permisos de “USUARIO.VULNERABLE” en el sistema.

Entonces, para entender los variables y componentes de este ataque:

  1. Tenemos a usuario llamado “USUARIO.SQL”, que tiene una delegación restringida solo a un servicio llamado CIFS en el servidor “SQL-SERVER.notanseguro.com”
  2. Tenemos un usuario llamado “USUARIO.VULNERABLE” que por no prestar atención al email que recibió termino abriendo un phishing email dando acceso al atacante a la red interna.
  3. Es en este momento, cuando el atacante empieza la enumeración del sistema usando los permisos de “USUARIO.VULNERABLE”, descubriendo que este no tiene ningún permiso especial en el sistema:

  1. Pero descubre que “USUARIO.SQL” tiene asignada una delegación restringida a un servicio llamado “CIFS” en el servidor “SQL-SERVER.notanseguro.com”

¡Y todo desde el computador de “USUARIO.VULNERABLE”, sin ningún permiso especial!!!!!

  1. En este momento, el atacante procede a descargar sus herramientas de código abierto las cuales ya modifico y testeo en virustotal.com asegurándose que no fueran detectadas por ningún antivirus.

Entonces, el atacante primero confirma no tener acceso al servidor desde el perfil de “USUARIO.VULNERABLE”:

  1. Entonces, con avanzados procesos de enumeración y una combinación de herramientas como PowerShell y Mimikatz, el atacante descubre la contraseña de “USUARIO.SQL” y decide utilizar este dato (la contraseña) para solicitar un boleto TGT al controlador de dominio utilizando una herramienta llamada asktgt.exe SUPLANTANDO al usuario “USUARIO.SQL”:

  1. Y con el boleto TGT en el disco duro, decide presentarlo al servidor “SQLSERVER.notanseguro.com“ utilizando otra herramienta llamada s4u.exe suplantando a “Administrador”.

  1. Para finalmente pasar el boleto TGT como “administrador” al servicio CIFS del servidor “SQL-SERVER.notanseguro.com” y DE ESA FORMA OBTENER ACCESO AL SERVIDOR.

AHORA, EL ACCESO A LAS BASES DE DATOS DE LA EMPRESA ES TOTAL PARA EL ATACANTE.

Es importante mencionar que este procedimiento presentado es solo uno de muchos. Otros procedimientos bastante conocidos para ejecutar el mismo ataque pueden ser realizados con herramientas como Kekeo y Rubeus.

¿Qué podemos sacar como lección de este ataque para que podamos asegurar nuestros sistemas de una forma realmente segura?

AUDITAR CONSTANTEMENTE LAS CUENTAS CON DELEGACIÓN Y PROTEGER LAS CONTRASEÑAS DE ESTAS CUENTAS ES VITAL PARA MANTENER SU AMBIENTE TECNOLÓGICO SEGURO.

Todo este proceso no requirió escalado de privilegios en el computador de la víctima y ahora el atacante podrá continuar con su camino a convertirse en el nuevo administrador del sistema.

Como podemos ver nuevamente, hay desconfiguraciones que no son fáciles de descubrir en un dominio que pueden ser la causa de un gran problema donde la seguridad del dominio, la reputación y los activos de la empresa están en juego. En Seguridad-Ofensiva damos atención a estas configuraciones inseguras con el fin de darle una solución antes de que alguien más tome ventaja de ellas.

Si desean saber más detalles en relación con este ataque y sus posibles mitigaciones, por favor contáctenos a [email protected] Sera un placer para nosotros darle más detalles para incrementar la seguridad de su ambiente tecnológico.

¿Cómo Seguridad-Ofensiva puede ayudarme a mantener mi dominio libre de vulnerabilidades internas?

En Seguridad-Ofensiva hemos prestado atención a la situación real de los dominios. Entendemos que muchas veces los administradores de dominio no tienen tiempo para dedicarse al estudio y la búsqueda de vulnerabilidades tan peligrosas como esta porque están ocupados dando soporte a los empleados, creando nuevos usuarios o reemplazando computadores. Si ese es el caso de su departamento de tecnología, lo invitamos a que nos contacte para que de esa forma podamos contarle de nuestros procedimientos NO INVASIVOS. Nuestra intención es darle una solución real a las vulnerabilidades internas a las cuales los antivirus no pueden identificar. Sírvase contactarnos a [email protected]

Si desea conocer más de nuestros servicios especializados en la prevención de vulnerabilidades en redes internas lo invitamos a visitar: https://seguridad-ofensiva.com/pruebas-de-penetracion-internas

Nuestro Canal de YouTube

Estamos aquí para evaluar e incrementar la seguridad de su entorno tecnológico.

Leave a Reply

Your email address will not be published. Required fields are marked *