Microsoft ha emitido un aviso (ADV190026) para proporcionar orientación a las empresas después de la divulgación de un problema en Windows Howdy para empresas (WHfB). El problema existe cuando las claves públicas persisten después de la eliminación de un dispositivo de Lively Listing, si existe Energetic Directory.
El problema fue descubierto por Michael Grafnetter, investigador de seguridad de TI y entrenador de CQURE y GOPAS, quien ha estado investigando el funcionamiento interno de WHfB y descubrió múltiples vectores de ataque para la herramienta de autenticación sin contraseña. Uno de estos vectores implica msDS-KeyCredentialLink, que podría ser utilizado o mal utilizado para la persistencia de un atacante.
El aviso de hoy se refiere a otro de sus hallazgos. Cuando alguien configura WHfB, la clave pública WHfB se escribe en el Advertisement regional y sus claves están vinculadas a un usuario y dispositivo que se ha agregado a Azure Ad. Si se retira el dispositivo, su clave WHfB vinculada se considera huérfana. Sin embargo, estas claves huérfanas no se eliminan, incluso si se elimina su dispositivo correspondiente. Si bien cualquier autenticación a Azure Ad con una clave huérfana será rechazada, algunas de estas claves WHfB causan un problema de seguridad en Ad 2016 y 2019 en entornos híbridos o locales.
Un atacante autenticado podría acceder a claves huérfanas creadas en Trustworthy System Modules (TPM) afectados por CVE-2017-15361, como se detalla en un aviso de seguridad por separado ADV170012, para calcular su clave privada WHfB utilizando las claves públicas huérfanas. El atacante podría usar la clave privada robada para autenticarse como usuario dentro del dominio con Criptografía de clave pública para autenticación inicial (PKINIT).
«Este ataque es posible incluso si se han aplicado actualizaciones de firmware y application a los TPM afectados por CVE-2017-15361 porque las claves públicas correspondientes aún pueden existir en Energetic Directory», explica Microsoft en su aviso. Su asesoramiento tiene por objeto proporcionar orientación para limpiar las claves públicas huérfanas creadas utilizando un TPM sin parchear, antes de que se aplicaran las actualizaciones detalladas en ADV170012.
Hasta ahora, no hay evidencia que sugiera que este problema se haya utilizado para atacar máquinas en la naturaleza, dicen las autoridades. Lea los pasos de mitigación en el aviso completo de Microsoft aquí.
Kelly Sheridan es la Editora de particular de Dark Reading, donde se enfoca en noticias y análisis de seguridad cibernética. Ella es una periodista de tecnología de negocios que informó anteriormente para InformationWeek, donde cubrió Microsoft, y Insurance & Technology, donde cubrió asuntos financieros … Ver biografía completa
