Se ha descubierto una vulnerabilidad crítica en el protocolo del proveedor de soporte de seguridad de credenciales (CredSSP) que afecta a todas las versiones de Windows hasta la fecha y podría permitir a los atacantes remotos explotar RDP y WinRM para robar datos y ejecutar código malicioso.
El protocolo CredSSP ha sido diseñado para ser utilizado por RDP (Remote Desktop Protocol) y Windows Remote Management (WinRM) que se encarga de reenviar de manera segura las credenciales encriptadas desde el cliente de Windows a los servidores de destino para la autenticación remota.
Descubierto por investigadores de la firma de seguridad cibernética Preempt Security, el problema (CVE-2018-0886) es una falla criptográfica lógica en CredSSP que puede ser explotada por un atacante con acceso Wi-Fi o físico a la red para robar datos de autenticación de sesión y realizar un ataque de llamada a procedimiento remoto.
Cuando un cliente y un servidor se autentican a través de los protocolos de conexión RDP y WinRM, un atacante de hombre en el medio puede ejecutar comandos remotos para comprometer las redes empresariales.
«Un atacante que haya robado una sesión de un usuario con suficientes privilegios podría ejecutar comandos diferentes con privilegios de administrador local. Esto es especialmente crítico en el caso de los controladores de dominio, donde la mayoría de las llamadas de procedimiento remoto (DCE / RPC) están habilitadas por defecto», dice Yaron Zinar, investigador principal de seguridad de Preempt.
«Esto podría dejar a las empresas vulnerables a una variedad de amenazas de los atacantes, incluido el movimiento lateral y la infección en servidores críticos o controladores de dominio».
Dado que RDP es la aplicación más popular para realizar inicios de sesión remotos y casi todos los clientes empresariales usan RDP, hace que la mayoría de las redes sean vulnerables a este problema de seguridad.
Los investigadores descubrieron e informaron esta vulnerabilidad de ejecución remota de código remotamente desconocida a Microsoft en agosto del año pasado, pero el gigante tecnológico emitió una corrección para el protocolo hoy como parte de su lanzamiento Patch Tuesday, que es casi después de 7 meses de informes.
Para defenderse a sí mismo y a sus organizaciones contra el exploit de CredSSP, se recomienda a los usuarios instalar parches en sus estaciones de trabajo y servidores utilizando las actualizaciones disponibles de Microsoft.
Aunque los investigadores también advirtieron que el parche solo no es suficiente para prevenir este ataque, los profesionales de TI también deben realizar alguna configuración para aplicar el parche y estar protegidos.
El bloqueo de los puertos de aplicaciones relevantes, incluidos RDP y DCE / RPC también frustraría el ataque, pero los investigadores dicen que este ataque podría incluso implementarse de diferentes maneras, utilizando diferentes protocolos.
Por lo tanto, para proteger mejor su red, es una buena idea disminuir el uso de la cuenta privilegiada tanto como sea posible y, en su lugar, usar cuentas no privilegiadas siempre que corresponda.
Como parte de marzo de 2018 Parche martes, Microsoft también ha lanzado parches de seguridad para sus otros productos, incluidos Microsoft IE y el navegador Edge, el sistema operativo Windows, Microsoft Office, PowerShell, Core ChakraCore y Adobe Flash Player.