Escalado de privilegios – La vision de Seguridad-Ofensiva. Esta vulnerabilidad “invisible” incluye al menos 500 vulnerabilidades distintas.

Escalado de privilegios – En las pruebas de penetración que ejecutamos siempre encontramos un tipo de vulnerabilidad de la cual ninguno de nuestros clientes está pendiente de mitigar. Muchas veces esta vulnerabilidad es tan o más peligrosa que cualquier otro tipo de vulnerabilidad porque tiene la capacidad de proveer acceso a todos los computadores de una red desde un usuario standard y el proceso de ataque que afecta a esta vulnerabilidad no puede ser detectado por ningún antivirus. Esta vulnerabilidad se llama Escalación de Privilegios.

En Seguridad-Ofensiva encontramos todos las vulnerabilidades relacionadas a la escalación de privilegios en todos los computadores que pertenecen al dominio. Es aquí donde empieza la seguridad del sistema en forma real.

Muchas veces nuestros clientes tienen una idea de este concepto, pero no tienen un conocimiento real de lo que esto implica.

Escalado de privilegios

Escalado de privilegios – Anatomia de un ataque interno

El proceso de escalado de privilegios desde la perspectiva del atacante funciona de la siguiente manera:

  1. Usuario X recibe un email spam infectado.
  2. Usuario X abre el spam infectado y da acceso remoto al atacante.
  3. Atacante enumera el computador de la víctima para encontrar una vulnerabilidad que le permita escalar los privilegios en el computador local desde los permisos de usuario del USUARIO X para obtener los privilegios de administrador local.
  4. Atacante, utilizando los privilegios de administrador local, instala una puerta trasera para acceder a voluntad al computador ya infectado.
  5. El atacante empieza a diseñar un proceso de pivoteo que le permita entrar a otros computadores y servidores usando herramientas del sistema como CMD, PowerShell, u otras herramientas como Empire, Metasploit, o Cobalt Strike e incluso usando una combinación de todas ellas.
  6. Atacante repite el mismo proceso infectando todo el sistema.

¿Por qué el atacante debe tratar de escalar privilegios?

El atacante debe escalar privilegios porque su actuar no podrá ser mayor a lo que le permiten los permisos de usuario del USUARIO X. Usuario X no tiene acceso a instalar software en su computador, no tiene acceso a entrar a otros computadores, y no tiene acceso a ningún servidor. El atacante necesita pivotear a otros computadores y servidores y la única opción que tiene es escalar privilegios locales y después encontrar la forma de pivotear a los servidores.

¿Entonces, que significa que un atacante pueda escalar privilegios en un computador de mi compañía?

Veamos esta situación desde la siguiente perspectiva. Un empleado de su empresa tiene un acceso básico a los recursos tecnológicos de su compañía usando el nombre de usuario y contraseña que su equipo de Tecnología de la Información le dio para que tuviese acceso a un computador. A este computador se le asigno un perfil con una contraseña de administrador local que muchas veces es usada en todos los computadores con el fin de proporcionar mantención expedita cuando se requiera. Esto significa que si el atacante logra escalar los privilegios desde el perfil del usuario al perfil del administrador local podría acceder a los archivos NTLM del computador donde están almacenados los hashes de las contraseñas y finalmente descubrir las contraseñas y hacer uso de ellas. Nuevos ataques incluso más avanzados pueden acceder a estos hashes sin necesidad de escalar privilegios; por eso la seguridad informática debe ser abordada como un todo desde todos los ángulos y no solo tener una perspectiva defensiva. Un atacante puede fallar mil veces, pero solo necesita tener éxito una vez. Es critico entender esta situación para mantener su sistema seguro.

¿Entonces que pudiese suceder si un atacante logra escalar privilegios?

El atacante podría pivotear de computador en computador extrayendo toda la información de sus usuarios internos y tendría acceso indiscriminado a los servidores de su empresa, bases de datos, incluso pudiendo extraerlas o destruirlas. Finalmente, el atacante instalara puertas traseras que correrán como sub-servicios del sistema permitiendo la entrada y salida a voluntad infectando la totalidad del sistema.

¿Qué se puede hacer entonces para evitar esta situación?

En Seguridad-Ofensiva buscamos esas vulnerabilidades y desconfiguraciones que pudiesen permitir el escalado de privilegios y las mitigamos, este es un proceso que debe realizarse en cada computador y servidor debido a que es imposible identificar quien será el siguiente usuario que abra un email infectado. Nuestra estrategia permite identificar un muy amplio espectro de vulnerabilidades con el fin de asegurar su entorno tecnológico de forma automática.

YouTube Channel

REMEDIACIÓN ATAQUES INTERNOS

Leave a Reply

Your email address will not be published. Required fields are marked *