Investigadores de ciberseguridad han revelado un agujero de seguridad en el Directorio Activo (AD) de Windows que permite a los usuarios activos añadir máquinas al dominio, incluso sin privilegios de administrador, lo que expone a la máquina al riesgo de ataques de escalamiento de privilegios. Según la configuración por defecto, un usuario de AD puede añadir hasta diez estaciones de trabajo al dominio.
Utilizando la herramienta KrbRelayUp de Mor Davidovich (aka Dec0ne), Rubeus y KrbRelay, se puede realizar un escalamiento de privilegios local universal en entornos de dominio de Windows en los que no se aplica la firma LDAP según la configuración predeterminada (video).
Un adversario, ya logueado en la red (insider), sólo necesita ejecutar código en un equipo unido al dominio para realizar el ataque. Los investigadores de seguridad esperan que este defecto sea ampliamente aprovechado por los operadores de ransomware para proceder a las infecciones, ya que la rutina de explotación es bastante primitiva.
Requerimientos
Rápidamente este ataque permite un escalamiento de privilegios local desde un usuario de dominio con pocos privilegios a SYSTEM Local, en equipos unidos a un dominio.
Se requiere que la firma de LDAP en el controlador de dominio no esté habilitado (la cual es la opción por defecto) y la capacidad del usuario actual del dominio para añadir computadoras al dominio (ms-DS-MachineAccountQuota = 10 por defecto) o una cuenta propia.
Este ataque se puede combinar con Resource-Based Constrained Delegation Attack (RBCD).
Detección de ataques de escalamiento de privilegios basados en el comportamiento de KrbRelayUp
Para detectar posibles ataques de escalamiento de privilegios en entornos AD, se puede descargar una regla basada en Sigma (más). Esta regla Sigma tiene sus respectivas versiones en soluciones SIEM y XDR, incluyendo Microsoft Sentinel, Humio, Elastic Stack, Chronicle Security, LimaCharlie, ArcSight, QRadar, Splunk, Devo, Graylog, Sumo Logic, LogPoint, Regex Grep, RSA NetWitness, FireEye, Apache Kafka ksqlDB, Securonix y AWS OpenSearch.
La detección mencionada anteriormente está alineada con el marco MITRE ATT&CK® v.10 que aborda las tácticas de evasión de la defensa y acceso a las credenciales con el correspondiente: Abuso del Mecanismo de Control de Elevación (T1548) y Robo o Falsificación de Tickets Kerberos (T1558). También está alineada con las tácticas correspondientes al Uso de Material de Autenticación Alternativo (T1550) y Servicios Remotos (T1021).
Mitigación
Este problema de seguridad potencialmente peligroso, recuerda de nuevo los riesgos de la capacidad de todos los usuarios autentificados para unir sus dispositivos a un dominio. Los peligros podrían mitigarse cambiando la configuración por defecto y eliminando los usuarios autentificados de la política de controladores de dominio por defecto. Como alternativa, se podría introducir la nueva política de seguridad para definir la configuración “Add workstation to domain”.
Se debe aplicar LDAP Signing y LDAP Channel Binding para mitigar la retransmisión de la cuenta de máquina KRB auth a LDAP. Esto se puede configurar a través de la GPO “Domain Controller: LDAP server signing requirements”.
Se puede hacer que los requisitos de ataque sean más difíciles estableciendo el atributo MS-DS-Machine-Account-Quota en AD a 0, eliminando así la capacidad de cualquier usuario de añadir una nueva cuenta de máquina al dominio. Esta es una configuración por defecto peligrosa en AD, asegúrese de cambiarla.
Establecer la bandera “Account is sensitive and cannot be delegated” en todas las cuentas de administrador (o ponerlas en “Protected Users”) haría que no haya ninguna cuenta con los privilegios necesarios que pueda ser delegada para completar la ruta de ataque.
Se pueden encontrar más detalles sobre la mitigación de la vulnerabilidad KrbRelayUp en el repositorio de la investigación de Mor Davidovich.
Mitigación, recursos y reglas de detección
- https://github.com/Dec0ne/KrbRelayUp
- https://github.com/tsale/Sigma_rules/blob/main/windows_exploitation/KrbRelayUp.yml (@Kostastsale)
- https://twitter.com/SBousseaden/status/1518976397364056071 (@SBousseaden)
- https://www.linkedin.com/posts/john-dwyer-xforce_threathunting-threatdetection-blueteam-activity-6924739962131140608-py45/ (John Dwyer @TactiKoolSec)
- https://twitter.com/cyb3rops/status/1519241598311321601 (@cyb3rops)
Fuente: SOCPrime