22 jul 2021

CVE-2021-36934: Microsoft no gana para disgustos (y nosotros tampoco)

Por el 22 jul 2021 con 0 comentarios

Muy buenas!

Después de un par de semanas con el revuelo del PrintNightmare (para los despistados, una vulnerabilidad que permitía ejecutar comandos como SYSTEM en Windows) este lunes nos fuimos a la cama viendo como el bueno de Benjamin Delpy (Kiwi o "el tío de Mimikatz" para los amigos) comunicaba una nueva vulnerabilidad grave que afecta a los sistemas Windows modernos: 10, Server e, incluso, el flamante nuevo Windows 11.


La vulnerabilidad realmente es simple: por alguna razón (¿despiste?), Microsoft ha cambiado las ACL de los ficheros SAM y SYSTEM para que puedan ser leídos por cualquier usuario del equipo, aunque no tenga privilegios de Administrador. Estos ficheros pueden ser utilizados para obtener los hashes NTLM de los usuarios locales del equipo y, de este modo, crackearlos para obtener las contraseñas en claro o usar directamente los hashes para autenticarte como otro usuario del equipo, como el administrador local del mismo, permitiendo una escalada de privilegios local de forma sencilla.

Tal vez a alguno le chirríe esto último: ¿autenticarte con el hash?¿Directamente, sin saber la contraseña? Sí, esto es lo que se denomina "pass-the-hash" y, aunque no tenga sentido ninguno... es algo antiguo, ampliamente conocido y que Microsoft, de momento, no va a cambiar ¯\_(ツ)_/¯

Volviendo a la vulnerabilidad, cualquier usuario tiene acceso de lectura a estos ficheros... pero no es tan trivial leerlos, porque están bloqueados por el Sistema Operativo. Sin embargo, aquí llega el segundo problema de esta vulnerabilidad: las Shadow Copies. Sin entrar en mucho detalle, esto es un servicio de Windows que crea instantáneas del equipo para recuperar en caso de desastre (los famosos puntos de restauración). El problema aquí es que la copia de seguridad de los ficheros SAM y SYSTEM sí puede ser leída con total normalidad y mantiene los ACL de los originales, lo que permite que cualquier usuario obtenga dichos ficheros de una forma totalmente trivial.

Para ver la criticidad de esta vulnerabilidad, en el siguiente vídeo de Kiwi podemos ver cómo la explota, cambiando la contraseña al usuario administrador local de la máquina aprovechando que puede leer la SAM y SYSTEM de la Shadow Copy sin tener privilegios de ningún tipo.


¿Y ahora qué?

Bien, lo primero que tenemos que hacer es asumir que somos vulnerables, ya que esto afecta a todos los Windows 10 a partir de la versión 1809. Este es uno de esos casos en el que actualizas y se lía (shame on you, Microsoft). Sin embargo, la solución es muy sencilla.

Si queremos confirmar que somos vulnerables, simplemente debemos lanzar el comando icacls C:\Windows\system32\config\SAM como administrador. Si aparece un resultado como el siguiente, tenemos el problema en casa:


Para arreglar esto, la solución propuesta por Microsoft en el CVE-2021-36934 es simple: arreglar manualmente las ACL a estos ficheros con el comando icacls %windir%\system32\config\*.* /inheritance:e (de nuevo, como adminstrador). En este caso, observaremos como los ficheros SAM y SYSTEM únicamente son accesibles por el grupo de Administradores.

Vale, llegados a este punto, la vulnerabilidad ha desaparecido... pero recordemos que lo más seguro es que tengamos una shadow copy con los ficheros SAM y SYSTEM del pasado, aún vulnerables.

Para confirmar que las shadow copies existen, usaremos el comando vssadmin list shadows (como administrador).


Como no sabemos en qué momento apareció la vulnerabilidad, siempre que sea posible, la mejor opción será borrar todas las shadow copies con el comando vssadmin delete shadows /for=c: /all.

Una vez hayamos borrado las shadow copies y arreglado las ACL de los ficheros SAM y SYSTEM, podremos volver a respirar tranquilos (y esperemos que durante cierto tiempo). Finalmente, podremos esperar a que se cree una nueva shadow copy o forzar su creación de forma manual a través de la herramienta de creación de puntos de restauración.


Saludos!!

      editar

0 comentarios:

Publicar un comentario

< >