Credenciales en SYSVOL – De Usuario Regular A Administrador De Dominio En 5 Minutos

sysvol

sysvol

SYSVOL – Para entender este vector de ataque, debemos primero enfocarnos en la carpeta SYSVOL. SYSVOL es el acrónimo de SYSTEM VOLUME o VOLUMEN DE SISTEMA. Este directorio es una carpeta que contiene las configuraciones de cada una de las Políticas de Grupo, entre ellas, los scripts que son configurados para ser entregados a los computadores y los usuarios de la red y cada uno de los archivos .XML que componen cada política. La carpeta SYSVOL es accesible para todos los usuarios del dominio en forma global.

La versión de Windows Server 2008 (Durante el año 2019, muchos de nuestros nuevos clientes aun tenían controladores de dominio Windows Server 2008; nuestro proceso de mitigación incluyo el upgrade de tales servidores) fue entregada al mercado con un set de políticas de grupo llamado “Preferencias de Políticas de Grupo” que incluye él envío de instrucciones a los usuarios y computadores del dominio usando credenciales de dominio o de administrador local para la ejecución de dichas políticas. Entre esas políticas se encuentran:

  • La capacidad de conectar a los usuarios con directorios compartidos
  • Crear nuevos usuarios locales en los computadores del dominio
  • Cambiar la contraseña de los usuarios locales de los computadores del dominio
  • Conectar a los usuarios o a los computadores con las impresoras del sistema

El proceso de estas políticas incluye GUARDAR LA CONTRASEÑA A UTILIZAR encriptada usando AES-256 dentro del archivo .XML de la carpeta SYSVOL que corresponde a la política especifica.

Esta situación presenta las siguientes situaciones:

  1. Cualquier usuario tiene poder de lectura sobre la carpeta SYSVOL, lo que permite encontrar la contraseña encriptada.
  2. Microsoft publico la llave para poder descifrar la encriptación de la contraseña en: https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-gppref/2c15cbf0-f086-4c74-8b70-1f2fa45dd4be?redirectedfrom=MSDN

3. Generalmente, la contraseña guardada en la política de grupo es la contraseña de un administrador de sistema o la nueva contraseña de uno usuario local. La primera permite al atacante (si la descifra) tener control total sobre el dominio, y la segunda permite al atacante moverse libremente por cada computador y servidor siempre y cuando tenga la misma contraseña asignada; obviamente, el atacante tendrá permisos de administrador local.

4. El proceso de descifrado se volvió automático utilizando un script de PowerShell.

Como podemos ver, en este caso el atacante tiene todo a su favor, y la empresa y su sistema tienen todo en contra.

SYSVOL – Anatomia de un ataque interno

Un dia X, “usuario.vulnerable” decidió ser victima de un ataque informático porque no se dio cuenta que el correo electrónico que abrió era un phishing email y permitió el acceso de un atacante a al sistema interno. El atacante sin compasión…empezó su proceso de enumeración usando el perfil de la víctima:

“usuario.vulnerable” no tenía ningún privilegio especial en el dominio:

Pero sintiéndose afortunado, decidió probar este vector de ataque, encontrando una contraseña encriptada:

Y procedió a desencriptar la contraseña con un script de PowerShell:

Todo este proceso no requirió escalado de privilegios en el computador de la victima y ahora el atacante podrá continuar con su camino a convertirse en el nuevo administrador del sistema.

Le recomendamos a nuestros lectores que revisen las políticas de grupo en sus controladores de dominio y actualicen sus políticas de grupo con el fin de eliminar cualquier contraseña encriptada que se encuentre en ellas. Este es un vector de ataque muy conocido.

También, como recomendación, les solicitamos a todos nuestros lectores que se aseguren que la actualización KB2962486 este instalada en todos los controladores de dominio. Mas información sobre esta actualización en:

https://docs.microsoft.com/en-us/security-updates/securitybulletins/2014/ms14-025

Como podemos ver nuevamente, hay desconfiguraciones que no son fáciles de descubrir en un dominio que pueden ser la causa de un gran problema donde la seguridad del dominio, la reputación y los activos de la empresa están en juego. En Seguridad-Ofensiva damos atención a estas configuraciones inseguras con el fin de darle una solución antes de que alguien más tome ventaja de ellas.

Si desean saber más detalles en relación con este ataque y sus posibles mitigaciones, por favor contáctenos a [email protected]. Sera un placer para nosotros darle más detalles para incrementar la seguridad de su ambiente tecnológico.

¿Cómo Seguridad-Ofensiva puede ayudarme a mantener mi dominio libre de vulnerabilidades internas?

En Seguridad-Ofensiva hemos prestado atención a la situación real de los dominios. Entendemos que muchas veces los administradores de dominio no tienen tiempo para dedicarse al estudio y la búsqueda de vulnerabilidades tan peligrosas como esta porque están ocupados dando soporte a los empleados, creando nuevos usuarios o reemplazando computadores. Si ese es el caso de su departamento de tecnología, lo invitamos a que nos contacte para que de esa forma podamos contarle de nuestros procedimientos NO INVASIVOS. Nuestra intención es darle una solución real a las vulnerabilidades internas a las cuales los antivirus no pueden identificar. Sírvase contactarnos a [email protected]

Si desea conocer más de nuestros servicios especializados en la prevención de vulnerabilidades en redes internas lo invitamos a visitar: https://seguridad-ofensiva.com/pruebas-de-penetracion-internas

Nuestro Canal de YouTube

Estamos aquí para evaluar e incrementar la seguridad de su entorno tecnológico.

Leave a Reply

Your email address will not be published. Required fields are marked *