Google

Vulnerabilidad Microsoft Windows NTLM.

Written on:July 12, 2017
Comments
Add One

Vulnerabilidad Microsoft Windows NTLM.

Se han detectado 2 vulnerabilidades críticas en Windows  NTLM , su forma de explotar esta vulnerabilidad vía LDAP  y RDP, en la cual un atacante puede crear una cuenta y tomar control de todo el dominio.

En la primera vulnerabilidad vía LDAP, el atacante puede obtener privilegios dentro del sistema objetivo,  utiliza una sesión entrante de NTLM  y realiza Operaciones en LDAP , como actualizar los objetos en el dominio en nombre del usuario NTLM.

Al explotar esta vulnerabilidad vía RDP  Restricted-admin permite al atacante al usuario conectarse a una computadora sin ninguna contraseña.

Los sistemas vulnerables son:

  • Microsoft Windows 10 Version 1607 for 32-bit Systems
  • Microsoft Windows 10 Version 1607 for x64-based Systems
  • Microsoft Windows 10 for 32-bit Systems
  • Microsoft Windows 10 for x64-based Systems
  • Microsoft Windows 10 version 1511 for 32-bit Systems
  • Microsoft Windows 10 version 1511 for x64-based Systems
  • Microsoft Windows 10 version 1703 for 32-bit Systems
  • Microsoft Windows 10 version 1703 for x64-based Systems
  • Microsoft Windows 7 for 32-bit Systems SP1
  • Microsoft Windows 7 for x64-based Systems SP1
  • Microsoft Windows 8.1 for 32-bit Systems
  • Microsoft Windows 8.1 for x64-based Systems
  • Microsoft Windows RT 8.1
  • Microsoft Windows Server 2008 R2 for Itanium-based Systems SP1
  • Microsoft Windows Server 2008 R2 for x64-based Systems SP1
  • Microsoft Windows Server 2008 for 32-bit Systems SP2
  • Microsoft Windows Server 2008 for Itanium-based Systems SP2
  • Microsoft Windows Server 2008 for x64-based Systems SP2
  • Microsoft Windows Server 2012
  • Microsoft Windows Server 2012 R2
  • Microsoft Windows Server 2016

En abril de este año se le reporto a Microsoft esta vulnerabilidad la cual se le asignó el CVE-2017-8563, Microsoft  negó que sea algún bug, en lo cual solo lo marcó como “errores conocidos”.

Hasta el momento no se cuenta con una exploit de forma gratuita, por lo cual se recomiendan las siguientes acciones para poder prevenir cualquier inconveniente.

  • Bloquear acceso remoto a la red.
  • Implementar un sistema de detección de intrusos en la red.

Snort Rules:
42753
42755-42756
43460-43463
43465-43466
43469-43474
43490-43493
43521-43522

  • No aceptar o ejecutar archivos no reconocidos o dudosa procedencia.
  • Implementar varias formas de autentificación.
  • Actualización del sistemas.

Referencias:

http://thehackernews.com/2017/07/windows-ntlm-security-flaw.html

https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2017-8563

https://www.symantec.com/security_response/vulnerability.jsp?bid=99402&om_rssid=sr-advisories

Leave a Comment

Your email address will not be published. Required fields are marked *

%d bloggers like this: