Thu. Aug 29th, 2024

Los investigadores de la Unidad de Contraamenazas (CTU) de Secureworks advirtieron sobre una vulnerabilidad nueva y potencialmente grave que afecta el método de autenticación de identidad híbrida de autenticación de paso (PTA) que se usa en Azure Active Directory (AD).

PTA es una de las tres opciones de autenticación que se usan para las identidades híbridas dentro de Azure AD, las otras son la sincronización de hash de contraseña (PHS) y la federación de identidades.

Se considera una buena opción para las organizaciones que no pueden o no desean sincronizar hashes de contraseñas con la nube o, irónicamente, aquellas que necesitan controles de autenticación más estrictos. Cuando se trata de la federación de identidades, que generalmente se implementa con los Servicios de federación de AD (AD FS), a menudo se considera que PTA es más seguro: AD FS se explotó notablemente en el ataque de SolarWinds.

PTA funciona mediante la instalación de agentes en servidores locales, hasta un máximo de 40 por inquilino. Cuando un usuario accede a un servicio mediante la plataforma de identidad de Azure AD, como Microsoft 365, y proporciona sus credenciales, Azure AD las cifra y envía una solicitud de autenticación a uno de los agentes, que descifra estas credenciales, inicia sesión con ellas y devuelve los resultados al usuario.

Sin embargo, el equipo de investigación de CTU ahora ha demostrado una prueba de concepto (PoC) exitosa para un exploit que, si no se controla, puede ser utilizado por un actor de amenazas para explotar los procesos de instalación centrales de la PTA y robar la identidad del agente exportando el certificado que usos para la autenticación basada en certificados (CBA).

Con este certificado a mano, un actor de amenazas puede realizar una serie de acciones maliciosas, como explicó el equipo de CTU en su aviso de divulgación.

“El certificado comprometido se puede usar con el agente PTA controlado por el atacante para crear una puerta trasera indetectable, lo que permite a los actores de amenazas iniciar sesión con contraseñas no válidas, recopilar credenciales y realizar ataques remotos de denegación de servicio (DoS)”, dijo el equipo. “Los atacantes pueden renovar el certificado cuando vence para mantener la persistencia en la red durante años. Los administradores de una organización no pueden revocar un certificado comprometido”.

Sin embargo, después de haber compartido su investigación con Microsoft hace algunos meses, Microsoft ha insistido en que PTA está funcionando según lo previsto y no ha dado indicios de ningún plan para abordar la vulnerabilidad.

El Centro de respuesta de seguridad de Microsoft (MSRC) dijo: “Nuestro equipo completó la evaluación de este problema y entendemos que la superficie de ataque para esto requiere comprometer un activo de alta seguridad al obtener acceso administrativo en primer lugar.

“Si el cliente siguió nuestra guía de endurecimiento pero el atacante todavía tiene acceso al servidor que ejecuta el agente de PTA, entonces ya tenía acceso a las credenciales del usuario, por lo que creemos que esta vulnerabilidad en sí misma no representa un riesgo adicional.

“Como mecanismo de mitigación, tenemos la capacidad de bloquear agentes en el lado del servidor en función de las escaladas de los clientes y, además, estamos buscando formas de mejorar nuestros registros de auditoría como un mecanismo de detección mejorado”.

No obstante, la CTU de Secureworks recomienda a los usuarios de Azure AD que realicen las siguientes acciones para proteger a sus inquilinos:

  • Trate todos los componentes de identidad híbridos locales, incluidos los servidores con agentes de PTA, como servidores de nivel cero;
  • Considere la posibilidad de adoptar métodos alternativos de autenticación híbrida, como PHS o identidad federada;
  • Supervise la actividad indicativa de compromiso, como que alguien inicie sesión con una contraseña incorrecta: esta actividad se puede ver en el portal de Azure AD, también a través de la versión beta del informe de inicios de sesión de Microsoft Graph. Si se ve un agente de PTA potencialmente comprometido, se puede invalidar creando una solicitud de soporte en el portal de Azure AD.
  • Introducir la autenticación multifactor para evitar que los ciberdelincuentes exploten a un agente de la PTA.

Related Post

Leave a Reply

Your email address will not be published. Required fields are marked *