Surgen nuevas técnicas para abusar de los servicios de Windows …



Las organizaciones deben aplicar los principios del privilegio mínimo para mitigar las amenazas, dice un investigador de seguridad.

Recientemente, han estado disponibles varias técnicas nuevas que brindan a los atacantes una forma de abusar de los servicios legítimos de Windows y escalar con relativa facilidad los privilegios de bajo nivel en un sistema para obtener el regulate total del mismo.

Los exploits más nuevos aprovechan las mismas capacidades de servicios de Windows o similares de las que los atacantes han abusado anteriormente y funcionan incluso en algunas de las versiones más recientes del sistema operativo, advierte Antonio Cocomazzi, ingeniero de sistemas de SentinelOne. Cocomazzi describió algunas de las técnicas en una sesión informativa en la conferencia virtual Black Hat Asia 2021 esta semana.

Para las organizaciones, el mayor problema que enfrentan estos ataques es que abusan de los servicios que tienen privilegios de suplantación de identidad y existen por diseño en los sistemas operativos Windows, dice Cocomazzi a Dim Reading. Los servicios están habilitados, disponibles de manera predeterminada y juegan un papel esencial en la implementación de servidores world-wide-web, servidores de bases de datos, servidores de correo y otros servicios, dice Cocomazzi.

«Estas técnicas recientes permiten a un atacante explotar incluso los sistemas Home windows más recientes y actualizados», dice.

Un exploit conocido como «Juicy Potato» sigue siendo la forma más común para que los atacantes escalen privilegios en un sistema Home windows utilizando un servicio legítimo de Windows, dice Cocomazzi. SentinelOne ha observado evidencia del uso del exploit en múltiples campañas de APT, agrega.

No ha habido señales de que las nuevas técnicas actualizadas se estén utilizando en la naturaleza, pero eso no significa que no se estén explotando activamente.

«Teniendo en cuenta que esas técnicas se han descubierto recientemente, es sólo cuestión de tiempo antes de que los atacantes las encuentren (y) las utilicen en futuros ataques», afirma.

Juicy Potato es un exploit que permite a un atacante con privilegios de servicio de bajo nivel en un sistema Home windows obtener acceso a nivel de sistema. El exploit aprovecha una configuración de privilegios de suplantación en Home windows llamada «SeImpersonatePrivilege». Microsoft introdujo por primera vez la función en Windows 2000 SP4, irónicamente como medida de seguridad para evitar «servidores no autorizados para que no se hagan pasar por clientes«que se conectan a ellos de forma remota a través de llamadas a procedimientos remotos o lo que se conoce como canalizaciones con nombre.

En los sistemas donde el servicio está habilitado, todo lo que un atacante tendría que hacer es descargar la herramienta JuicyPotato y usarla para ejecutar el código malicioso de su elección, como configurar una carga útil de shell inversa.

«JuicyPotato engaña al servicio de activación DCOM para que realice una llamada RPC privilegiada y autenticada a un servidor RPC malicioso bajo el regulate de un atacante», dice Cocomazzi.

Luego, ejecuta un par de pasos que le permiten robar un token que le permite al atacante llevar a cabo una actividad maliciosa con privilegios de nivel de sistema.

Microsoft ha corregido el exploit en versiones más recientes de su software. Pero JuicyPotato todavía funciona en cada servidor Home windows actualizado hasta la versión 2016 y en cada máquina cliente Home windows actualizada hasta la versión 10, compilación 1803, dice. Y ahora hay disponibles versiones más nuevas de la llamada familia de exploits Potato, como RoguePotato y Juicy 2, que omiten la solución de Microsoft que cerró JuicyPotato, dice Cocomazzi.

Además, hay varias otras vulnerabilidades disponibles que permiten a los atacantes aprovechar la configuración de privilegios de suplantación de identidad y otros servicios de Windows para obtener acceso a nivel de sistema en los sistemas Home windows. Los ejemplos incluyen RogueWinRM, PrintSpoofer y Suplantación de servicios de purple. Cada una de estas herramientas explota diferentes servicios y mecanismos de Windows para brindar a los atacantes el acceso más privilegiado en una máquina con Home windows: el privilegio NT Authority / Process, señala.

«En los últimos años, uno de los exploits más utilizados / abusados ​​para la escalada de privilegios de un compromiso de servicio fue JuicyPotato», dice. «Desde entonces, se han visto otros exploits que abusan de los mismos conceptos: coaccionar a un servicio más privilegiado para que autentique un recurso bajo el control del atacante, permitiendo así que el atacante robe y use la autenticación privilegiada».

Amenazas más potentes
Cocomazzi describe RoguePotato y PrintSpoofer como las dos técnicas de escalada de privilegios de Home windows más potentes actualmente disponibles para los atacantes. Esto se debe a que los exploits funcionan en todas las instalaciones de servidor y cliente de Windows y requieren muy pocas condiciones para funcionar correctamente.

PrintSpoofer explota un componente interno de Windows altamente privilegiado llamado servicio «spooler».

«No requiere ninguna interacción de crimson externa y podría ejecutarse completamente localmente, lo que es best para un atacante», dice Cocomazzi.

RoguePotato, mientras tanto, explota «rpcss» otro servicio de Home windows crítico y muy abusado. El exploit ofrece a los atacantes una forma de engañar a rpcss para que autentique un recurso bajo el command del atacante, de modo que el atacante pueda robar y usar la autenticación para ejecutar código de forma remota con privilegios de nivel de sistema. A diferencia de PrintSpoofer, el exploit RoguePotato requiere interacción de pink. Pero es mucho más difícil de mitigar porque los servicios rpcss no se pueden detener como el servicio de cola de impresión, dice Cocomazzi.

Las aplicaciones world wide web que se ejecutan en servidores Home windows son un objetivo favorito. Un escenario común es que los atacantes obtengan algún tipo de acceso limitado al servidor comprometiendo una aplicación de servidor world-wide-web como IIS o MSSQL y luego usando ese punto de apoyo para elevar los privilegios.

La mejor manera para que las organizaciones mitiguen la amenaza que representan estas técnicas es aplicar el principio de privilegio mínimo, dice el investigador de seguridad. Las organizaciones deben aprovechar el mecanismo de refuerzo del servicio de Windows (WSH) para segregar y restringir los privilegios del servicio, por ejemplo, deshabilitando los privilegios de suplantación.

«Los objetivos favoritos de los atacantes son los servidores net IIS, por lo que aplicar algunas restricciones a las identidades del grupo de aplicaciones utilizadas por el sistema podría ser una excelente manera de protegerse contra esas técnicas», dice Cocomazzi.

El uso de la configuración predeterminada que ofrece el sistema operativo puede dejar a las organizaciones vulnerables a estos ataques, dice.

Jai Vijayan es un reportero de tecnología experimentado con más de 20 años de experiencia en el periodismo comercial de TI. Más recientemente, fue editor senior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia primary