×
×

Error de autenticación

Ha habido un problema a la hora de conectarse a la red social. Por favor intentalo de nuevo

Si el problema persiste, nos lo puedes decir AQUÍ

×

ThetechguyMiembro desde: 09/02/18

Thetechguy
3
Posición en el Ranking
2
Usuarios seguidores
Sus noticias
RSS
  • Visitas
    1.422.985
  • Publicadas
    611
  • Puntos
    77
Veces compartidas
34
¡Consigue las insignias!
Trimestrales
  • 15º
Recientes
  • 15º
Visitas a noticias
Hace 4d

Esta falla de escalada de privilegios permitiría a un atacante remoto hacerse pasar por un administrador

Microsoft ha confirmado la existencia de una vulnerabilidad de escalada de privilegios en el servidor de Exchange considerada crítica. Acorde a especialistas en seguridad en redes del Instituto Internacional de Seguridad Cibernética, esta falla podría permitir que un hacker con una cuenta de buzón simple obtenga privilegios de administrador.

Tanto Microsoft como el US-CERT habían alertado en días recientes sobre esta falla, conocida como ‘PrivExchange’, mencionando que cuenta con un puntaje de 8.3/10 en la escala Common Vulnerability Scoring System (CVSS). Acorde a expertos,   la vulnerabilidad existe debido a múltiples fallas en las configuraciones predeterminadas, en el servidor email y de calendario de Exchange Server. La vulnerabilidad afecta a las versiones 2013 y posteriores.

Microsoft aún no ha lanzado parches de actualización para corregir esa vulnerabilidad, sin embargo, especialistas en seguridad en redesmencionan que existen otros métodos de mitigación de riesgos.  

Hace una semana fue publicada una prueba de concepto que describe cómo un usuario de Exchange puede emplear dos herramientas escritas en Python para obtener privilegios de administrador de dominio. En respuesta, Microsoft declaró: “Para explotar esta falla el atacante tendría que ejecutar un ataque Man-in-the-Middle para reenviar una solicitud de autenticación a Exchange Server, lo que permitiría la suplantación de identidad”.

La vulnerabilidad PrivExchange fue descrita por primera vez por el experto en seguridad en redes Dirk-jan Mollema, quien desarrolló una prueba de concepto en la que explotaba algunas configuraciones predeterminadas de Exchange. Según Mollema, los atacantes pueden configurar los parámetros EWS para autenticarse en un servidor Exchange para posteriormente autenticar la cuenta usando NTML (un conjunto de protocolos de seguridad para Microsoft).

Otro error de configuración predeterminada es que Exchange no establece firmas en el tráfico de autenticación NTLM, por lo que un usuario malicioso podría realizar un ataque de reenvío de NTLM hacia otros equipos en la red del administrador.

Más sobre

Finalmente, los servidores tienen acceso a procesos de alto privilegio de forma predeterminada, incluido el de controlador de dominio. Con privilegios de administrador, el atacante podría obtener acceso al controlador de dominio, lo que puede ser útil para múltiples actividades de hacking.

“Debido a los privilegios concedidos por la explotación de esta vulnerabilidad, un atacante podría controlar cualquier cosa en el directorio activo, como acceso a los sistemas, lectura y modificación de datos e implementación de backdoors para asegurar la persistencia de la vulnerabilidad”, mencionó Mollema.

El especialista agregó: “Realizar este ataque es relativamente fácil, además, ya se han lanzado algunas otras implementaciones de las herramientas usadas en la prueba de concepto que permiten realizar el ataque a través de una estación de trabajo infectada”.

Microsoft no ha publicado actualizaciones para esta vulnerabilidad, aunque existen formas de mitigar los riesgos re ataque. Los posibles usuarios afectados tendrían implementaciones de OnPrem, ya que Exchange Online no está afectado; como tendrían los sistemas con NTLM, ya que los sistemas que han deshabilitado NTLM no se ven afectados.

Para abordar esta vulnerabilidad, los usuarios podrían definir y aplicar la “Política de limitación” para que las suscripciones de EWSMax tengan un valor de cero. El parámetro EwsMaxSubscriptions especifica el número máximo de suscripciones activas de “inserción y extracción” que un usuario de los Servicios web de Exchange puede tener al mismo tiempo en un servidor de Exchange específico, por lo que limitaría el número a cero y evitaría que el servidor de Exchange enviara notificaciones.

Más recientes de Thetechguy

Hackear un smartphone Android con tan sólo una imagen PNG

Google afirma que esta vulnerabilidad aún no ha sido explotada en escenarios reales 08/02/2019

Peligroso backdoor en Linux

Muchos investigadores creen que este nuevo troyano podría detonar una importante oleada de ciberataques 08/02/2019

Distribuciones de Linux para seguridad y privacidad

Distribuciones de Linux para seguridad y privacidad

Las mejores distros de este sistema operativo para especialistas en ciberseguridad 07/02/2019

Policía contra sitios web que ofrecen ciberataques

Las autoridades británicas incautaron más de 50 dispositivos probablemente utilizados para realizar ciberataques durante una redada 07/02/2019

Mostrando: 6-10 de 610