Descargo de responsabilidad: esta publicación documenta algunos de mis hallazgos al realizar mi propia investigación y comprender la amenaza del robo de credenciales. Esto también fue para concienciar a la comunidad de informática de usuario final sobre este tema. En este artículo se han omitido deliberadamente enlaces a herramientas y algunos de los detalles específicos del ataque. Sin embargo, debe tener el conocimiento y la habilidad adecuados para utilizar herramientas de prueba de vulnerabilidades y exploits antes de aventurarse por el camino de jugar con herramientas de exploits de seguridad. ¡Cualquier uso es bajo tu propio riesgo! Introducción Recientemente leí sobre Mimikatz y quería entender lo fácil que era obtener el nombre de usuario y la contraseña a través de una sesión remota. Sesión remota: Terminal Services/RemoteDesktopServices/Protocolo RDP. En este artículo, analizamos cómo funciona Mimikatz y la exposición a los usuarios de Windows 365, Azure Virtual Desktop y MSTSC tradicional. Luego analizamos cómo podemos reducir el riesgo de algo llamado acaparamiento de credenciales. Primer vistazo Entonces, para poder probar Mimikatz, necesita descargar la herramienta mimikatz. Como puede ver en la captura de pantalla siguiente, la protección en tiempo real del antivirus Defender bloquea esto de forma predeterminada. Sin embargo, al desactivar Microsoft Defender Antivirus, podemos descargar la herramienta de prueba. Como puede ver en la captura de pantalla siguiente, pude iniciar Mimikatz sin interrupciones por parte de la seguridad del punto final/Microsoft Defender. Al mirar a mi alrededor dentro de Mimikatz, de forma predeterminada pude obtener mucha información sobre el usuario, el SID de la sesión, etc. Esto no es algo que desee compartir o poner a disposición. La buena noticia es que puede evitar la extracción de datos LSA utilizando una clave de registro (Protección LSA). La clave a configurar es: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa y establezca el valor de la clave de registro en: “RunAsPPL”=dword:00000001. Puede leer más sobre la protección LSA aquí: https://docs.microsoft.com/windows-server/security/credentials-protection-and-management/configuring-additional-lsa-protection La siguiente captura de pantalla muestra la entrada del registro que se está aplicando. Una vez que haya aplicado la entrada del registro y haya reiniciado su máquina, aparece el siguiente error al intentar generar información LSA, como se muestra en la captura de pantalla a continuación. Ahora que hemos resuelto este problema de generar LSA, echemos un vistazo a cómo deshacerse de las credenciales de los servicios de terminal. Volcado de credenciales Antes de entrar en este tema, al momento de escribir este artículo no hay forma de detener el volcado de credenciales si el actor malo obtiene acceso al sistema para MSTSC, Azure Virtual Desktop y Windows365. Entonces, la única forma de evitar que ocurra este problema es reforzar la seguridad siempre que sea posible para restringir o evitar que los malos actores obtengan acceso a los sistemas. Como puede ver en la captura de pantalla a continuación, logré eliminar mis credenciales en Windows365, Azure Virtual Desktop y MSTSC. No tengo la intención de entrar en detalles sobre cómo se obtienen estas credenciales, pero según tengo entendido, hoy en día no son forma de prevenir el ataque utilizando mimikatz. También observo que los proveedores de seguridad han tomado medidas en un intento de evitar que los usuarios descarguen y ejecuten Mimikatz, sin embargo, eso no resuelve el problema. También observará en las comunidades de seguridad que evitar los AV no es demasiado difícil de lograr. El otro punto que quería abordar era: ¿qué impide que se cree un exploit que pueda lograr el mismo objetivo que Mimikatz? Mimikatz es una herramienta de prueba de exploits que se utiliza para comprender el riesgo/impacto y probar el ataque; sin embargo, los troyanos y otras técnicas probablemente serán más difíciles de detectar. Incluso con todas las campanas y silbidos activados, como la seguridad del sistema operativo Harding, Trusted Launch y otros como Credential Guard, Mimikatz aún pudo obtener esas credenciales. Como puede ver en la captura de pantalla a continuación, pude deshacerme de los detalles de mi cuenta de prueba después de dedicar tiempo a reforzar el sistema operativo. El siguiente tweet detalla algunas de las pruebas realizadas en el intento de fortalecer la seguridad, pero solo para demostrarlo, no importa cuántas capas adicionales de protección agregue aquí, la captura de credenciales aún es posible. Cliente web de RD Al principio no pude obtener las credenciales utilizando WebClient. Sin embargo, después de enviar un mensaje a Benjamin Delpy, pudo actualizar la versión de mimikatz en menos de 13 horas. Los tweets a continuación muestran mis hallazgos iniciales de no poder obtener las credenciales del usuario y el segundo tweet muestra que @gentilkiwi puede recopilar credenciales remotas del cliente web. No lo creo, si se trata de una conexión de consola, no está relacionada con RDP. Este ejemplo fue para mostrar que no existe Credential Guard u otra protección de proceso.— 🥝 Benjamin Delpy (@gentilkiwi) 7 de agosto de 2021 Entonces, ¿quién hace este efecto? ? Como puede que sepas o no, hoy en día muchos proveedores han creado sus soluciones en torno a RDP. Si un mal actor puede obtener acceso a su sesión remota, sus credenciales podrían ser secuestradas. ¿Qué puedes hacer para reducir el riesgo? La pregunta de oro… Así que aquí voy a cubrir algunas cosas para ayudarle a reducir el riesgo; sin embargo, estos consejos no impiden la obtención de credenciales. Autenticación multifactor: se recomienda utilizar la autenticación de dos factores. Algunos pueden decir que esto es tan útil como un protector contra incendios de chocolate, pero es mejor tener una segunda verificación que ninguna. Credenciales de administrador: asegúrese de que los usuarios tengan solo los permisos necesarios para el escritorio. En la mayoría de los entornos VDI, aparte de los escritorios persistentes, no existe una necesidad real de permisos de administrador. Evite la interacción con el Antivirus de Microsoft Defender: Impedir que el usuario acceda a la consola AV puede ayudar y, si lo controla el administrador, debería considerar evitar que los usuarios accedan al Antivirus de Microsoft Defender. Protección LSA: agregue la clave de registro para la protección LSA como se describe en este artículo. Refuerzo de seguridad del sistema operativo: aplique refuerzo de seguridad según lo recomendado por Microsoft. Casillero de aplicaciones: evite el software no deseado usando App Locker. Detección/respuesta de endpoints o detección y respuesta extendidas: con el aumento significativo de amenazas en los últimos años, se recomienda encarecidamente considerar una solución integrada de seguridad de endpoints que combine el monitoreo continuo en tiempo real y la recopilación de datos de endpoints con sistemas basados ​​en reglas. Capacidades de análisis y respuesta automatizadas. Las sugerencias anteriores ayudarán a reducir el riesgo de que un mal actor acceda a los sistemas; sin embargo, no impiden la capacidad de obtener credenciales. Benjamin Delpy también hizo algunas recomendaciones que conviene tomar nota. 1. al no utilizar contraseñas (hola / tarjetas inteligentes)2. mediante el uso de protección de credenciales/protección de credenciales remota (y depende… mimilib también es un proveedor de autenticación)3. preguntando a Microsoft por qué deben conservar las credenciales aquí cuando ni siquiera LSASS las necesita.— 🥝 Benjamin Delpy (@gentilkiwi) 7 de agosto de 2021 Conclusión En este artículo, analizamos la cuestión de la recopilación de información de LSA y la obtención de credenciales. Comenzamos analizando la extracción de información LSA sobre el usuario, cómo prevenirla y luego pasamos al tema principal de la obtención de credenciales. Se estableció que, al momento de escribir este artículo, no se puede evitar la obtención de credenciales en Windows365, Azure Virtual Desktop y MSTSC (probado). Sin embargo, puede aplicar controles de seguridad y técnicas de refuerzo para reducir el riesgo de que un mal actor obtenga acceso para ejecutar dichos ataques en su red. Debo decir que este fue un trabajo bastante interesante, y muchas gracias a Benjamin Delpy y Marc-André Moreau por contribuir y brindar ideas. Así:Me gusta Cargando… Relacionado

Source link