Los usuarios de Microsoft Windows 10 y Windows 11 corren el riesgo de sufrir una nueva vulnerabilidad sin parchear que se reveló públicamente recientemente.
Como informamos la semana pasada, la vulnerabilidad: jad sam Permite a los atacantes con permisos de bajo nivel acceder a los archivos del sistema de Windows para realizar un ataque Pass-the-Hash (y posiblemente Silver Ticket).
Los atacantes pueden aprovechar esta vulnerabilidad para obtener contraseñas hash almacenadas en el Administrador de cuentas de seguridad (SAM) y en el registro, y eventualmente ejecutar código arbitrario con privilegios de SISTEMA.
SeriousSAM debilidad, rastreada como CVE-2021-36934, está en la configuración predeterminada de Windows 10 y Windows 11, precisamente por la configuración que permite permisos de «lectura» para el grupo de usuarios integrado que contiene todos los usuarios locales.
Como resultado, los usuarios locales integrados tienen acceso para leer SAM y archivos de registro, donde también pueden ver el hash. Una vez que el atacante obtiene acceso de «usuario», puede usar una herramienta como Mimikatz para obtener acceso al registro o SAM, robar los hashes y convertirlos en contraseñas. Invadir a los usuarios del dominio de esta manera les dará a los atacantes altos privilegios en la red.
Dado que todavía no hay un parche oficial disponible de Microsoft, la mejor manera de proteger su entorno de la vulnerabilidad de SeriousSAM es implementar medidas de refuerzo.
Mitigación de SeriousSAM
Según Dvir Goren, director de tecnología de CalCom, hay tres procedimientos de templado opcionales:
- Eliminar todos los usuarios del grupo de usuarios integrado Este es un buen lugar para comenzar, pero no lo protegerá si le roban sus credenciales de administrador.
- Restringir archivos SAM y permisos de registro Permita el acceso solo para administradores. Esto, nuevamente, solo resolverá parte del problema, ya que si el atacante robara las credenciales del administrador, aún sería vulnerable a esta vulnerabilidad.
- No permita que se almacenen contraseñas y credenciales para la autenticación de red – Esta regla también se recomienda en un archivo. Estándares CIS. Al implementar esta regla, no habrá hash almacenado en el SAM o en el registro, mitigando así esta vulnerabilidad por completo.
Cuando utilice GPO para la implementación, asegúrese de que la siguiente ruta de IU esté habilitada:
Configuración del equipo Políticas Configuración de Windows Configuración de seguridad Políticas locales Opciones de seguridad Acceso a la red: no permita que se almacenen contraseñas y credenciales para la autenticación de red
A pesar de que la última recomendación ofrece una buena solución para SeriousSAM, puede afectar negativamente su producción si no se prueba adecuadamente antes de presionarla. Cuando esta configuración está habilitada, las aplicaciones que usan tareas programadas y necesitan almacenar hashes de usuario localmente fallarán.
Mitigar SeriousSAM sin arriesgar daños a la producción
Aquí están las recomendaciones de Dvir para la mitigación sin causar un tiempo de inactividad:
- Configure un entorno de prueba que simule su entorno de producción. Simule todas las posibles dependencias de su red con la mayor precisión posible.
- Analice el impacto de esta regla en su entorno de prueba. De esta manera, si tiene aplicaciones que dependen de hashes almacenados localmente, lo sabrán con anticipación y evitarán tiempos de inactividad en la producción.
- Pague la póliza siempre que sea posible. Además, asegúrese de que el hardware nuevo esté reforzado y que la configuración no se desvíe con el tiempo.
Estas tres tareas son complejas y requieren muchos recursos internos y experiencia. Por tanto, la recomendación final de Dvir es Automatización de todo el proceso de solidificación Para cubrir la necesidad de realizar las etapas 1, 2 y 3.
Esto es lo que obtendrá de un herramienta de automatización de solidificación:
- Genere automáticamente el informe de análisis de impacto más preciso: las robustas herramientas de automatización «aprenden» sus dependencias de producción y le informan sobre el impacto potencial de cada regla de política.
- Haga cumplir automáticamente su política en toda su producción desde un solo punto de control: con estas herramientas no necesita realizar trabajo manual, como el uso de Objetos de política de grupo. Puede controlar y asegurarse de que todos sus dispositivos sean sólidos.
- Mantenga su estado de cumplimiento y supervise su hardware en tiempo real: las herramientas de automatización de refuerzo supervisarán su estado de cumplimiento, alertarán y abordarán cualquier cambio no autorizado en las configuraciones, evitando así anomalías en la configuración.
Fortalecimiento de las herramientas de automatización Aprenderá las dependencias directamente de su red y generará automáticamente un informe preciso para el análisis de impacto. La herramienta de automatización de solidificación también lo ayudará a agilizar el proceso de implementación y monitoreo.
