¿Es cierto que Microsoft ha corregido ahora una vulnerabilidad de hace siete años? (I)


Hispasec.com explica de una manera bastante sencilla la vulnerabilidad del Protocolo NTLM, la explicación la ha dividido en 2 partes, aquí esta la primera.





Mucho está dando que hablar el boletín MS08-68 de Microsoft. Se dice que por fin, ha corregido una vulnerabilidad conocida desde hace siete años. Pero esto, como cualquier simplificación, no es del todo cierto. No es una vulnerabilidad como tal, ni ha sido corregida por completo, porque no se puede. Vamos a intentar aclarar algunos asuntos en dos entregas.

El protocolo NTLM

Es un protocolo de autenticación basado en un intercambio desafío-respuesta, usado por Microsoft desde hace muchos años. Sirve para autenticar a un ordenador que quiere, por ejemplo, acceder a una unidad compartida de una red en otro sistema, sin que la contraseña viaje en texto claro. Durante el protocolo de autenticación, se intercambian tres (tipos de) mensajes desafío-respuesta.

* Mensaje 1: El cliente le cuenta al servidor los distintos tipos de características de cifrado y otros parámetros, para que los dos sepan qué es lo que pueden soportar y esperar uno del otro.

* Mensaje 2: Este es el que devuelve el servidor al cliente que se quiere autenticar. En él viaja el desafío, que no es más que un trozo de datos aleatorios con el que el servidor desafía al cliente: "Si sabes manipular este trozo de datos correctamente con tu contraseña, entonces sé que eres quien dices ser".

* Mensaje 3: En él se encuentran las respuestas que ha calculado el cliente, esto es, el cálculo de la combinación contraseña-desafío con el que el cliente pretende autenticarse.

Hay que destacar que el protocolo NTLM se usa para SMB (compartición de archivos) principalmente, pero también puede usarse para autenticación HTTP, POP3, SMTP... es importante porque el uso combinado de dos protocolos sirve para otros tipos de ataque que veremos en la próxima entrega.

El problema

El protocolo NTLM fue bien acogido y muy implantado en sistemas de todo tipo. Pero en 2001 se publicó un ataque que se aprovechaba de este diseño, y que resultaba inherente al protocolo. No se trata de una vulnerabilidad sino de un fallo de diseño, y esto, virtualmente, lo hace insalvable. Un protocolo no puede cambiar de la noche a la mañana, y menos cuando lleva tantos años implantado.

El mecanismo de autenticación de NTLM garantiza la confidencialidad de la contraseña gracias al uso de un desafío, pero no es posible para el cliente verificar el origen de este desafío ni la integridad del paquete. Un servidor SMB creado por el atacante podría proporcionar al cliente un desafío obtenido en otra conexión, y utilizar el resultado de la autenticación para autenticarse en esa otra conexión. Ni siquiera tiene la necesidad de conocer la contraseña en texto claro. Simplificando, se trata de "engañar" a un cliente para que cifre un desafío y usar su respuesta para autenticarte en otro sistema como si fueras el cliente engañado. Para engañarlo sólo es necesario montar un servidor SMB por ejemplo y que la víctima se conecte. Se retiene la conexión y se realiza el ataque cuando se obtenga la respuesta.

Esta vulnerabilidad es conocida como "replay attack". Sin saber la contraseña de la víctima, se puede deambular por una red accediendo a los recursos como si se fuese el sistema atacado, replicando la respuesta al desafío. En 2001, Sir Dystic (miembro de The Cult of the Dead Cow) publicó la primera herramienta capaz de realizar ataques de "replay attack" contra el protocolo NTLM, llamada SmbRelay. Era muy inestable y sólo válida para NT. Más adelante existió una herramienta más sofisticada llamada SmbRelay2. Basándose en el mismo fallo, se puede hablar del "reflection attack", que implica usar el desafío de la víctima para devolvérselo firmado por ella misma y entrar en su sistema con las credenciales del usuario (pero sin saberlas). En vez de utilizarlas para acceder a otro recurso de red, se usan para entrar en el sistema que ha "picado" con el ataque.

¿Qué ha hecho Microsoft durante estos siete años para atajar estos problemas? ¿Está totalmente corregido este fallo con esta actualización? Lo veremos en la próxima entrega.

Más Información:

Microsoft Security Bulletin MS08-068 -- Important
http://www.microsoft.com/technet/security/bulletin/ms08-068.mspx

Andrés Tarascó
http://www.tarasco.org/security/smbrelay/paper_smbrelay_ES.pdf

Sergio de los Santos
http://www.hispasec.com



Otras noticias de interés:

Microsoft no es afectado por el Mydoom.B
Es poco probable que Microsoft sufra las mismas consecuencias con el bombardeo de solicitudes a su sitio web, que hizo colapsar al del SCO el pasado 1 de febrero. El gusano Mydoom en su versión A, es el culpable del ataque que hizo desaparec...
Atractiva promocion de nuevo proveedor de Internet
Ya se encuentra operando en Chile Alternativalibre.cl , empresa proveedora de acceso a Internet, sin costos fijos y con una promoción del 69% del SLM, siendo en este momento el más económico del mercado. Con el propósito de posicionar a la...
Microsoft no actualiza Windows XP infectados con Rootkit
La última ronda de actualizaciones de MIcrosoft deja de lado a sistemas XP de 32 bits en casos de que detecte que el sistema está comprometido vía Rootkit, por tanto no reciben la actualización de seguridad en cuestión....
El peligro del Sexting
Sexting (combinación de Sex y Texting (mandar un mensaje de texto)) es el envío a través de teléfonos móviles de imágenes sexualmente explícitas (sugerentes o textuales) y de desnudos, sobre todo, de adolescentes aunque ha aumentado entre la p...
La Guerra de los Mensajeros Instantaneos
Podremos notar que ninguna empresa se queda de brazos cruzados cuando se trata de colocar novedades o actualizaciones a los mensajeros instantaneos más usados como lo son El MSN Messenger, el ICQ y el Yahoo Messenger......
Denegación de servicio en Microsoft Windows
Se ha identificado una vulnerabilidad en Microsoft Windows, que puede ser explotada por usuarios maliciosos para provocar condiciones de denegación de servicio....
De qué se trata el ACTA
Si bien el Congreso de los Estados Unidos retrocedió con las polémicas leyes SOPA (Stop Online Piracy Act) y PIPA (Protect IP Act), aún resta un controversial tratado de corte internacional que en teoría busca combatir el tráfico de falsificacio...
Microsoft publicará tres actualizaciones de seguridad el próximo martes
En su ciclo habitual de actualizaciones los segundos martes de cada mes, Microsoft ha anunciado que en esta ocasión se esperan tres parches de seguridad, dos destinados a su sistema operativo Windows y otro a su sistema de correo Exchange....
Windows 7 podría bloquear programas y contenido pirata
Según informan distintos blogs tecnológicos, Windows 7 tiene la capacidad para bloquear programas piratas....
Google: #Android seguirá siendo gratuito
Eric Schmidt, ha asegurado que no cambiará el modelo gratuito de Android y ha criticado las acciones legales de Microsoft contra los fabricantes de smartphones que emplean su S.O. de código abierto....

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cierto
  • cifrado
  • computer
  • corregido
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hace
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • siete
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidad
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra