Esta semana en ciberseguridad – Octubre semana 1

Esta semana en ciberseguridad, nos ha llamado la atención 3 noticias que ahora te presentamos:

Fallo en servicio Azure AD Seamless SSO permite hacer fuerza bruta contra el Directorio Activo de Azure

El servicio Azure AD Seamless SSO loguea automáticamente a los usuarios en sus dispositivos corporativos, conectados a la red de su lugar de trabajo. Con el SSO transparente habilitado, los usuarios no tendrán que escribir sus contraseñas, o normalmente ni siquiera sus nombres de usuario, para iniciar sesión en Azure AD.

“Esta característica proporciona a sus usuarios un fácil acceso a sus aplicaciones basadas en la nube sin necesidad de componentes locales adicionales”

según Microsoft.

En junio de este año, los investigadores de Secureworks Counter Threat Unit (CTU) descubrieron un fallo en el protocolo utilizado por el servicio Azure AD Seamless SSO que permite hacer fuerza bruta de las credenciales de AD de un usuario sin que los intentos se registren en el servidor.

Como muchos servicios de Windows, el servicio SSO transparente se basa en el protocolo Kerberos para la autenticación. “Durante la configuración de SSO transparente, se crea un objeto de equipo llamado AZUREADSSOACC en el dominio de Active Directory (AD) local y se le asigna el nombre principal de servicio (SPN) https://autologon.microsoftazuread-sso.com”, Ese nombre y el hash de contraseña del objeto de equipo AZUREADSSOACC se envían a Azure AD.

El siguiente endpoint de autologon llamado “windowstransport” recibe tickets de Kerberos. Y, el Seamless SSO se produce automáticamente sin la interacción del usuario: https://autologon.microsoftazuread-sso.com//winauth/trust/2005/windowstransport

Además, hay un endpoint usernamemixed en …/winauth/trust/2005/usernamemixed que acepta el nombre de usuario y la contraseña para la autenticación de un solo factor. Para autenticar a un usuario, se envía un archivo XML que contiene su nombre de usuario y contraseña a este endpoint.

Aquí es donde aparece el fallo. Autologon intenta autenticar al usuario en Azure AD según las credenciales proporcionadas. Si el nombre de usuario y la contraseña coinciden, la autenticación se realiza correctamente y el servicio de autologon responde con una salida XML que contiene un token de autenticación, conocido como DesktopSSOToken, que se envía a Azure AD. Sin embargo, si la autenticación falla, se genera un mensaje de error. Son estos códigos de error, algunos de los cuales no se loguen correctamente, los que pueden ayudar a un atacante a realizar ataques de fuerza bruta no detectados.

Ya se ha publicado una PoC para lleva acabo ataques de fuerza bruta aprovechándose de este fallo. La explotación de esta vulnerabilidad no está limitada a organizaciones que utilizan SSO seamless, un atacante podría hacerlo en cualquier organización de Azure AD o Microsoft 365, incluidas las organizaciones que utilizan la autenticación PassThrough (PTA). Sin embargo, los usuarios sin una contraseña de Azure AD no se ven afectados.

Debido a que el éxito de un ataque de fuerza bruta depende en gran medida de la seguridad de la contraseña, Secureworks ha calificado el fallo con criticidad “Media”. Por el momento no se conocen soluciones o mitigaciones para bloquear el uso del endpoint usernamemixed. Secureworks afirma que el uso de la autenticación multifactor (MFA) y el acceso condicional (CA) no evitará la explotación porque estos mecanismos ocurren solo después de una autenticación con éxito.

Va mas información, diagramas de autenticación en las fuentes:

FUENTES: (1) https://blog.segu-info.com.ar/2021/10/fallo-permite-hacer-fuerza-bruta-contra.html
(2) https://arstechnica.com/information-technology/2021/09/new-azure-active-directory-password-brute-forcing-flaw-has-no-fix/

Google lanza un emergency patch para un zero-day de Google Chrome

La semana pasada se lanzaba la versión de Chrome 94, sin embargo, varios días después Google actualizaba el popular navegador con una nueva versión más actualizada de Chrome 94, ya que, una vulnerabilidad de alto riesgo fue detectada. Es de resaltar, además, que esta nueva versión resolvía, según las notas del parche 19, problemas de esta índole.

Esta actualización de Chrome 94, en concreto, solucionaba un error etiquetado con el código “CVE-2021-37973”. De momento, no se ha facilitado información sobre si esta vulnerabilidad ha sido explotada.

“la vulnerabilidad apuntaba a la API de Portals encargada de la transición entre páginas.”

Según Clément Lecigne, miembro de Google Threat Analysis Group

Otro aspecto importante a tener en cuenta es que toda información apunta directamente a Google Chrome, lo cual no descarta si otros navegadores basados en Chromium podrían haber tenido este mismo fallo de seguridad. Por lo que si eres usuario frecuente de Google Chrome o cualquier navegador basado en Chromium recomendamos encarecidamente que actualices lo antes posible.

Para ello solo tendrías que ir a los 3 puntos ubicados en la esquina superior derecha, seleccionas ayuda y en el menú desplegable, “información de Google Chrome”, una vez abierta esta pestaña el navegador se actualizará automáticamente en caso de necesitarlo

FUENTE: https://unaaldia.hispasec.com/2021/09/google-lanza-un-emergency-patch-para-un-zero-day-de-google-chrome.html

Herramientas que pueden ayudar con los Controles de Seguridad de CIS

Este mes de octubre, mes de la Ciberseguridad, te presentamos un conjunto de herramientas que te pueden ayudar a cumplir con loc controles de CIS V.7.1.

La idea es que todos los días estaremos posteando un CIS Control V7 y te indicaremos algunas herramientas que están dedicadas o que te pueden ayudar a llevar de mejor forma el control.

Te dejamos el link en la fuente.

FUENTE: http://bit.ly/3A82OQz