CVE-2020-17049 es una vulnerabilidad de omisión de características de seguridad de Kerberos que ahora ha sido utilizada como arma por un código de explotación de prueba de concepto. El código PoC muestra una nueva técnica de ataque que puede permitir que los actores de amenazas accedan a servicios conectados a la red..
Tal ataque puede tener varias implicaciones. Sistemas que ejecutan Windows 10 La actualización de aniversario estaba protegida contra dos vulnerabilidades antes de que Microsoft abordara los parches’ cuestiones. El nuevo ataque ha sido sustituido por el ataque Bronze Bit y parchearlo ha sido un gran desafío para Microsoft.. Una solución inicial para el exploit se lanzó el mes pasado en noviembre 2020 Martes de parches.
Sin embargo, algunos clientes de Microsoft tenían problemas con el parche, y se tuvo que emitir uno nuevo este mes.
CVE-2020-17049
La investigación de seguridad Jake Karnes de NetSPI publicó un desglose técnico de CVE-2020-17049 para ayudar a los ingenieros de redes a comprender mejor la vulnerabilidad.. Los investigadores también crearon un código de prueba de concepto junto con el análisis técnico. El investigador dice que el ataque Bronze Bit es una nueva variación de los conocidos exploits Golden Ticket y Silver Ticker dirigidos a la autenticación Kerberos.. El elemento común en todos los exploits es que se pueden aprovechar una vez que un actor de amenazas ha violado la red interna de una empresa..
Dado que el protocolo de autenticación Kerberos ha estado presente en todas las versiones estándar de Windows desde 2000, muchos sistemas pueden estar en riesgo. Un atacante que violó al menos un sistema en una red y extrajo hash de contraseña puede usarlos para eludir y fabricar credenciales para otros sistemas en la misma red.. La única condición es que el protocolo Kerberos esté en su lugar.
El ataque Bronze Bit se diferencia de los otros dos en las partes que los atacantes buscan comprometer.. En este caso, Los actores de amenazas buscan los protocolos S4U2self y S4U2proxy agregados por Microsoft como extensiones al protocolo Kerberos.. Según Karnes, el protocolo S4U2self se utiliza para obtener un ticket de servicio para un usuario objetivo del servicio comprometido. Siempre se abusa del hash de la contraseña del servicio.
“Luego, el ataque manipula este ticket de servicio asegurándose de que su bandera reenviable esté configurada (volteando el “Reenviable” poco a 1). El ticket de servicio manipulado se utiliza luego en el protocolo proxy S4U2 para obtener un ticket de servicio para el usuario objetivo al servicio objetivo.,” el investigador explicó.
Más sobre el protocolo Kerberos
Windows Active Directory usa el protocolo Kerberos para autenticar a los usuarios, servidores, y otros recursos entre sí dentro de un dominio. El protocolo se basa en la criptografía de clave simétrica donde cada principal tiene una clave secreta a largo plazo.
Esta clave secreta solo la conocen el director y el Centro de distribución de claves. (KDC). En un entorno de AD, el controlador de dominio desempeña la función del KDC. (...) Con su conocimiento de la clave secreta de cada director, el KDC facilita la autenticación de un principal a otro mediante la emisión “Entradas.” Estos tickets contienen metadatos, información de autorización y claves secretas adicionales que se pueden utilizar con tickets futuros, Karnes dice en su artículo teórico.
Como ya se ha mencionado, Microsoft lanzó varios parches en los últimos meses para abordar el problema. Estos parches se encuentran en el Guía de asesoramiento dedicada de MSRC. Más información de Microsoft está disponible en este artículo de soporte.