Uma falha no Active Directory da Microsoft (serviço utilizado para a administração de usuários, grupos e equipamentos) pode permitir a um atacante a troca de senhas e acesso a ferramentas corporativas de uma vítima através da utilização de programas gratuitos de pentest como o WCE ou o Mimikatz. Esses programas poderiam ser utilizados para roubar o hash NTLM da vítima, obrigando essa vítima a acessar a rede corporativa e utilizando um nível de criptografia reduzido. Dessa maneira é possível mudar a senha de acesso a serviços como o Outlook Web Access e o RDP (Protocolo de Acesso Remoto).
Tal Be’ry, vice-presidente da empresa de segurança digital Aorato, demonstrou o método que seria utilizado para acessar uma rede corporativa fazendo uso dessas credenciais roubadas. O atacante estaria fazendo-se passar pela vítima, e o limite dos danos que poderiam ser causados depende dos privilégios atribuídos aos acessos da vítima, em outras palavras, se a vítima for um Administrador de Domínio, o atacante terá privilégios para roubar informação sensível, causar danos quase irreparáveis à rede corporativa e até limitar o acesso aos demais administradores.
No seu blog, Be’ry explica que estes ataques não deixam rastros nos registros do Windows: “Descobrimos que os registros não revelam a problemática da diminuição do nível de criptografia”, e adicionou: “As pistas cruciais do ataque não são percebidas. Se os registros são fundamentais para a segurança do entorno, esse cenário não apresenta formas de detecção desses ataques”.
A Microsoft publicou uma declaração na qual sugeria a implementação de cartões inteligentes para o acesso a redes corporativas, além de desabilitar algoritmos fracos como o IRC4-HMAC (que utilizam o hash NTLM), porém Be’ry indica no seu post que essas não seriam as melhores práticas, já que cartões inteligentes são caros e difíceis de implementar em uma corporação. Além disso, a remoção dos algoritmos em um entorno completo pode impossibilitar a utilização de ferramentas e serviços mais antigos.
A notificação dessas descobertas foi entregue a Microsoft no começo de junho, e a empresa respondeu no dia 7 de julho que a falha mencionada é somente uma “limitação” na programação do Active Directory, provocada pelo protocolo de autenticação utilizado (NTLM), e não uma vulnerabilidade.
Essa resposta foi rejeitada por Be’ry, que afirmou que se a falha já era conhecida desde a implementação do protocolo NTLM para o Active Directory, então seria um “defeito de fábrica”. Um atacante pode alterar senhas de usuários sem deixar rastros nos registros para serem analisados posteriormente com ferramentas de análise de dados, assim a vulnerabilidade passa a ser considerada importante.
O conselho da ESET nessa situação é a utilização de um segundo fator de autenticação, disponível para os serviços da Microsoft mencionados (impossibilitaria o acesso de atacantes sem uma senha de uso único gerada em um dispositivo móvel), além de um monitoramento de anomalias nos protocolos de autenticação (como o uso de algoritmos de criptografia que normalmente não são utilizados), monitoramento do comportamento dos usuários (serviços utilizados e horário de utilização desses serviços) e a instalação do patch da Microsoft, que ajuda a minimizar o problema dos hash NTLM.
.
Autor Ilya Lopes, ESET
