Una falla en Active Directory de Microsoft (servicio de gerenciamiento de usuarios, grupos y equipos) permitiría a un atacante cambiar la contraseña de la víctima y acceder en su nombre a diversas herramientas corporativas: a través del uso de herramientas gratuitas de pentesting como WCE o Mimikatz, podría robar la hash NTLM de una víctima, forzándola a acceder a la red corporativa utilizando un nivel de cifrado reducido. De esta forma, es posible cambiarle la contraseña de acceso a servicios como el cliente de correo electrónico Outlook Web Access y RDP (Protocolo de Acceso Remoto).

Tal Be’ry, vicepresidente de la empresa de seguridad de Israel Aorato, detalló el método con el cual al acceder a la red corporativa utilizando estos accesos, el atacante estaría personificando la víctima, y los daños serían limitados solamente por los privilegios que tenía; es decir, si la víctima fuese un Administrador de Dominio, el atacante tendría privilegios para robar información sensible, causar daños casi irreparables a la red corporativa y limitar el acceso de los demás Administradores, entre otras cosas.

En su blog, Be’ry explica que estos ataques no dejan rastros en los registros de Windows: “Descubrimos que los registros no revelan la problemática de la disminución del nivel de cifrado”, y agregó: “Las pistas cruciales del ataque no son percibidas. Si los registros son fundamentales para la seguridad de un entorno, en este escenario no hay forma de detectar ataques como estos”.

Microsoft publicó una declaración sugiriendo a sus usuarios a implementar tarjetas inteligentes para el acceso a redes corporativas, además de deshabilitar algoritmos débiles como el RC4-HMAC (que utilizan hash NTLM), pero Be’ry indica en su post que no se tratan de mejores prácticas, ya que las tarjetas inteligentes son caras y difíciles de implementar en una corporación, y que la remoción de algoritmos en todo un entorno puede imposibilitar la utilización de herramientas y servicios menos recientes.

Microsoft fue notificada de los hallazgos mencionados a principios de junio, y la compañía contestó el 7 de julio que la falla mencionada se trata nada más que de una “limitación” en la programación de Active Directory causada por protocolos de autenticación utilizado (NTLM), y no de una vulnerabilidad en su servicio.

La respuesta de Microsoft fue rechazada por Be’ry, que dijo que si la falla ya era conocida desde la implementación del protocolo NTLM para Active Directory, se trata entonces de una “falla por defecto”, y que si un atacante puede cambiar contraseñas de usuarios sin dejar rastros en los registros para ser analizados posteriormente con el uso de herramientas de análisis de datos, la vulnerabilidad es considerada importante.

Desde ESET, la sugerencia es la utilización de un segundo factor de autenticación, disponibles para los servicios de Microsoft mencionados (imposibilitaría el acceso a los mismos sin una contraseña de uso único generada por un dispositivo móvil), además del monitoreo de anomalías en los protocolos de autenticación como el uso de algoritmos de encriptación no utilizados por defecto, monitoreo del comportamiento de usuarios (servicios utilizados y horario de acceso a los mismos), además de instalar el parche de Microsoft que ayuda a mitigar la problemática de los hash de NTLM.