Microsoft ha adelantado el lanzamiento de un parche de su ciclo de distribución de actualizaciones del segundo martes de cada mes, ya que existe una vulnerabilidad que permite la ejecución de código remoto en versiones no parchadas del protocolo CredSSP, el cual puede permitir a un atacante obtener credenciales para ejecutar código en el sistema afectado. Cualquier aplicación que dependa del protocolo de autenticación CredSSP es vulnerable a este ataque.

 

Escenarios de ataque:

  1. Atacante con acceso a red física o WiFi: Cuando el atacante tiene acceso físico a la red, este puede ejecutar fácilmente un ataque de hombre en el medio. Adicional a esto, si realiza el ataque por red WiFi, puede ser vulnerable a KRACKhaciendo que todas las máquinas con protocolo RDP queden expuestas a este ataque.
  2. Envenenamiento ARP: A pesar de ser una vieja táctica de ataque, muchas redes aun no están 100% protegidas contra el envenenamiento ARP. Si en la red se encuentra presente esta vulnerabilidad, un atacante con el control de una máquina que ya haya comprometido, fácilmente puede moverse lateralmente e infectar todas las máquinas en el segmento de red donde se encuentran.
  3. Atacar servidores críticos(incluyendo controladores de dominio): Cuando un atacante ya ha comprometido una o varias estaciones de trabajo y necesita encontrar una manera de infectar servidores críticos que requieran niveles de privilegios elevados, y, en la red se encuentran routers o switches vulnerables, puede ser fácil infectar estos servidores comprometiendo los dispositivos de red vulnerables donde se encuentren conectados los servidores objetivo y esperar a que un administrador de estos se registre en los servidores usando el protocolo RDP.

Como protegerse ante esta vulnerabilidad:

  1. Monitoreo en tiempo real de la infraestructura con herramientas de seguridad como antivirus, correlacionadores de eventos, etc.
  2. Mantener los servidores con los parches críticos y de seguridad al día.
  3. Deshabilitar los servicios o protocolos innecesarios en los servidores.
  4. Tener controlado el uso de cuentas con accesos privilegiados a los servidores.

Fuentes:

Microsoft patches RDP vulnerability. Update now!

https://blog.preempt.com/security-advisory-credssp

https://support.microsoft.com/en-us/help/4093492/credssp-updates-for-cve-2018-0886-march-13-2018

No Comment

You can post first response comment.

Leave A Comment

Please enter your name. Please enter an valid email address. Please enter message.

You may also like