Facebook Instagram Linkedin

C/ Zaplana, 11 - Entlo. Yecla, Murcia (30510)

info@techconsulting.es

Windows Server, vulnerable a ataque de retransmisión NTLM

In Noticias y Avisos CiberseguridadPosted

Fecha de publicación: 27/07/2021

Importancia:
Alta

Recursos afectados:

  • Windows Server 2012,
  • Windows Server 2008,
  • Windows Server 2016,
  • Windows Server 20H2,
  • Windows Server 2004,
  • Windows Server 2019.

Descripción:

El investigador Gilles Lionel ha reportado una vulnerabilidad, de severidad crítica y denominada PetitPotam, que podría permitir a un atacante remoto acceder a información de autenticación NTLM u otros certificados de autenticación, y tomar el control de los equipos de una red.

Existe una prueba de concepto (PoC) pública para esta vulnerabilidad.

Solución:

Por el momento no existe un parche de seguridad, por lo que Microsoft recomienda tomar una de las siguientes medidas de mitigación:

  • Desactivar la autenticación NTLM en el controlador de dominio de Windows siguiendo las indicaciones de la guía “Network security: Restrict NTLM: NTLM authentication in this domain”.
  • En caso de no poder implementar la anterior solución, se recomienda:
    • Desactivar NTLM en cualquier servidor AD CS mediante políticas de grupo y siguiendo las indicaciones de la guía “Network security: Restrict NTLM: Incoming NTLM traffic”.
    • Desactivar NTLM para Internet Information Services (SII) en los servidores AD CS que ejecutan los servicios “Inscripción web de la autoridad de certificación” o “Servicio web de inscripción de certificados”.
    • Habilitar la función de protección extendida para la autenticación (EPA) en los servidores AD CS si NTLM no puede ser desactivado totalmente.

Detalle:

Una vulnerabilidad en el sistema operativo de Windows podría permitir a un atacante remoto desarrollar un ataque de retransmisión NTLM, mediante el abuso del protocolo MS-EFSRPC, para recopilar información de autenticación NTLM u otros certificados de autenticación y así, acceder y tomar el control de los equipos de una red.

Encuesta valoración

Etiquetas:
Microsoft, Vulnerabilidad, Windows

Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.

Related Posts

Vulnerabilidad RCE en Wazuh Manager
Múltiples vulnerabilidades en switches SAN de HPE
Múltiples vulnerabilidades en productos Hitachi Energy
Múltiples vulnerabilidades en productos de Honeywell