Tal vez si eres del departamento de TI y de seguridad debes conocer estas vulnerabilidades de Microsoft no parcheadas, que tal vez algún día arreglen (o no), y así poder mitigarlas de otra manera.
1. Spoolsample
SpoolSample abusa de una funcionalidad del MS-RPRN (el protocolo remoto del sistema de impresión) para coaccionar al objetivo A para que se autentique en un destino de la elección de los atacantes (objetivo B). Este destino suele ser otro host que ejecuta una herramienta de retransmisión NTLM que a su vez retransmite el objetivo A al objetivo final, el objetivo C.
Es decir, si se tiene una cuenta con delegación no restringida configurada y el servicio Print Spooler se está ejecutando en un equipo, los atacantes pueden obtener las credenciales de ese equipo enviadas al sistema con delegación no restringida como usuario. Notaras que muchas de las secuencias de ataque conocidas que utilizan algún tipo de proceso de cola de impresión y el directorio activo no sólo han estado alrededor por años, pero también están viendo un nuevo interés como resultado de las recientes vulnerabilidades de cola de impresión.
Por lo tanto, mientras envías archivos a imprimir alguien podría aprovechar ese lapso para atacar tu sistema, por supuesto esto se evita cambiando la configuración de Windows. ¿Si lo has hecho?... ¿Verdad?.
2. Ataque PetitPotam
El ataque PetitPotam se utiliza para realizar un ataque clásico de retransmisión de NTLM. Usted es potencialmente vulnerable a este ataque si utiliza Active Directory Certificate Services (ADCS) con Certificate Authority Web Enrollment o Certificate Enrollment Web Service. Microsoft recomienda que active la Protección ampliada para la autenticación (EPA) o la firma SMB.
Microsoft ha enviado un aviso para que los administradores de sistemas dejen de utilizar el ahora obsoleto Windows NT LAN Manager (NTLM) para frustrar el ataque. Ahí está el problema. Es posible que usted siga utilizando NTLM en su oficina para una aplicación clave. La prueba es clave para seleccionar la mitigación adecuada.
Averigua con tu especialista de TI si ya actualizaste el protocolo.
3. ADCS - ESC8
Otra secuencia de ataque que tiene como objetivo ADCS comienza con su interfaz web, que permite la autenticación NTLM por defecto y no refuerza las mitigaciones de retransmisión. Denominado ADCS - ESC8. La secuencia de ataque actual permite a un atacante retransmitir la autenticación a la interfaz web y solicitar un certificado en nombre de la cuenta retransmitida. Una vez más, se trata de abusar de NTLM en su red para hacerse con su dominio.
4. RemotePotato0
El siguiente ataque potencial implica una escalada de privilegios de usuario a administrador del dominio. Como se ha señalado, RemotePotato0 abusa del servicio de activación DCOM y desencadena una autenticación NTLM de cualquier usuario actualmente conectado en la máquina objetivo. Se requiere que un usuario con privilegios esté conectado en la misma máquina (por ejemplo, un usuario administrador de dominio). Microsoft afirma que no solucionará el problema y que nos corresponde a nosotros decidir las mitigaciones a tomar.
¿Gracias Microsoft?
5. PrintNightmare
PrintNightmare se solucionó parcialmente en el proceso de actualización mensual de julio, pero sigue siendo preocupante, ya que es un indicio de los problemas del servicio de cola de impresión que aún deben solucionarse. En este caso, un atacante puede introducir una DLL maliciosa que puede utilizar el servicio de cola de impresión para tomar más control del ordenador o de la red. Se puede utilizar para la ejecución remota de código, así como la escalada de privilegios.
La única mitigación real para esta y cualquier otra vulnerabilidad futura del spooler de impresión es deshabilitar el servicio del spooler de impresión. Esto no es razonable para la mayoría de los que necesitamos imprimir. Para aquellos con controladores de dominio, se recomienda deshabilitar el servicio de cola de impresión.
Hay otras formas de bloquear los ataques basados en la cola de impresión. Se recomienda bloquear el tráfico RPC y SMB en su frontera bloqueando el puerto saliente 135 (RPC Endpoint mapper) y 139/445 (SMB). Además, utilice la Política de Grupo para limitar los servidores o bloquearlos completamente con el "punto de paquete e impresión - servidores aprobados".
6. SeriousSAM
Por último, pero no menos importante, está el problema de los permisos inadecuados llamado SeriousSAM. Se espera que Microsoft solucione esta vulnerabilidad, que se debe a la configuración de permisos incorrectos en varias versiones de Windows 10. Se descubrió cuando un investigador encontró una configuración incorrecta en Windows 11 y luego se dio cuenta de que también estaban configurados incorrectamente en Windows 10. Permite a los usuarios (y a los atacantes) acceder a las contraseñas guardadas en el archivo SAM. Cuando el ordenador está en uso, no se puede leer el archivo SAM. Sin embargo, si se realiza una copia VSS del ordenador, el panal de contraseñas queda expuesto en la copia del archivo sombra. Revisa tu red para ver el impacto que tiene. Se ha comprobado que algunos ordenadores apenas se han visto afectados.
Estos problemas señalan la importancia de que sus equipos de seguridad estén al tanto de los problemas que no están parcheados. Conclusión: Tu red no puede estar protegida sólo con parches. Se consciente de lo que ocurre fuera de su red tanto como de lo que ocurre dentro de ella.
Fuente: CSO
Comentarios