ClickCease Anulación de los controles de acceso al sistema

Únase a nuestro popular boletín

Únase a más de 4.500 profesionales de Linux y el código abierto.

2 veces al mes. Sin spam.

Anulación de los controles de acceso al sistema

Joao Correia

30 de enero de 2024 - Evangelista técnico

Este artículo forma parte de una serie en la que analizamos un reciente Asesoramiento conjunto sobre ciberseguridad de la NSA/CISA sobre los principales problemas de ciberseguridad identificados durante los ejercicios del equipo rojo/azul llevados a cabo por estas organizaciones. En este artículo, encontrará una visión más profunda del problema específico, con escenarios del mundo real en los que es aplicable, así como estrategias de mitigación que pueden adoptarse para limitarlo o superarlo. Esto amplía la información proporcionada por el informe NSA/CISA.

-

Los sistemas centralizados de gestión de identidades, recomendados para reducir los riesgos de autenticación en múltiples plataformas, crean inadvertidamente una vulnerabilidad. Estos sistemas, que confirman el estado y el nivel de acceso de una cuenta, intercambian mensajes a menudo cifrados pero no inmunes a la interceptación. Un cifrado débil, los secretos compartidos o los sistemas vulnerables de terceros pueden permitir a agentes malintencionados observar y capturar los mensajes de autenticación. A continuación, podrían "reproducir" estos mensajes para obtener privilegios no autorizados.

 

¿Cómo funciona exactamente?

 

Problemas de autenticación centralizada

 

Se recomienda que las organizaciones utilicen sistemas centralizados de gestión de identidades para reducir el riesgo asociado a la dispersión de la autenticación y la autorización en múltiples sistemas, cualquiera de los cuales se convertiría en un pasivo en caso de incidente. Sin embargo, esta centralización de los procesos conduce a un mecanismo necesario a través del cual un sistema de terceros solicita la confirmación del estado de una cuenta determinada - autorizada o no - y el nivel de acceso (es decir, los privilegios que deben concederse tras el inicio de sesión).

Este mecanismo se basa en el intercambio de mensajes entre el sistema centralizado de gestión de identidades y el sistema de terceros, a través de una red y normalmente cifrados. Sin embargo, debido a múltiples factores -desde un cifrado débil hasta secretos compartidos o sistemas de terceros mal protegidos-, un actor malicioso puede observar el proceso de autenticación mientras ocurre y recoger el mensaje resultante. En algunos casos, es posible "reproducir" el mensaje resultante y engañar a los sistemas para que lo acepten implícitamente, sin más comprobaciones, y conceder privilegios injustificados al actor malicioso o a los procesos bajo su control.

 

El ejemplo de Active Directory

 

La autenticación Kerberos de Active Directory es un caso notable en el que se intercambian valores hash entre sistemas, lo que da lugar a vulnerabilidades. En este caso, exploits como "Golden Ticket" y "Pass-the-Hash" se han convertido en habituales en los arsenales de los ciberdelincuentes:

 

  • Ataque Pass-the-Hash: Esta técnica consiste en capturar un hash (una representación alfanumérica de tamaño fijo de una contraseña o clave) utilizado en el proceso de autenticación. Los atacantes utilizan este hash para autenticarse y obtener acceso a los recursos de la red, sin necesidad de la contraseña real.
  • Ataque Golden Ticket: Este ataque se dirige contra Kerberos, un protocolo de autenticación de red utilizado en entornos Windows. Una vez que los atacantes obtienen acceso a un controlador de dominio clave, pueden crear un "ticket dorado", que garantiza la autenticación como cualquier usuario dentro del dominio, lo que a menudo conduce a un acceso sin restricciones a través de la red.

 

¿Estoy perfectamente seguro cuando uso Linux?

 

Este tipo de ataques no son específicos de ningún sistema operativo o plataforma. También se presentan de muchas formas, siendo Kerberos sólo un ejemplo. Por lo menos, el hecho de que la gestión centralizada de identidades suministrada por Active Directory sea (o pueda ser) consumida de diferentes maneras en sistemas Linux expone inevitablemente a esos sistemas al mismo problema.

Además, lo contrario también es posible: puedes encontrar stand-ins de Active Directory ejecutándose en Linux proporcionando conectividad ldap y autenticación a sistemas basados en Windows. El riesgo no debe descuidarse, independientemente de si se está ejecutando Active Directory en Windows o no.

De hecho, este problema ni siquiera es específico de los entornos de Active Directory, ni siquiera de la red y los sistemas internos. También se pueden eludir los controles de acceso al sistema, por ejemplo, mediante tokens de autorización mal protegidos en plataformas en línea populares, como servicios de alojamiento de código, correo electrónico y redes sociales. Si se crea un token que proporciona acceso a un determinado activo y luego ese token es robado, filtrado o publicado accidentalmente en línea, quienquiera que tenga acceso a él puede obtener los privilegios asociados con el token sin tener que volver a autenticarse con el servicio, eludiendo así cualquier control de acceso que esté en su lugar.

 

Estrategias de mitigación: Un enfoque global

 

Una defensa eficaz contra la elusión del control de acceso requiere una estrategia holística:

 

  • Privilegios obligatorios de uso único: La autenticación debe ser un proceso único para cada sesión. Una vez finalizada la sesión, la reautenticación debe ser obligatoria.
  • Validación de geolocalización: Las ubicaciones de inicio de sesión inusuales deben activar la reautenticación inmediata, un paso crucial para prevenir los ataques de secuestro de sesión.
    • Un refinamiento adicional puede incluso comprobar la ubicación y la ip del sistema cliente de origen, en lugar del usuario específico. Un cambio en el dispositivo habitual desde donde se inicia la conexión y una re-autenticación debe ser activada. 
    • Este tipo de sucesos debe ser objeto de un seguimiento exhaustivo y cuando se produzcan deben activarse alertas de alto riesgo.
  • Normas de cifrado fuerte: Garantiza la comunicación entre sistemas utilizando el cifrado más potente soportado mutuamente, evitando los estándares más débiles por defecto.
  • Actualizaciones periódicas del sistema: Los sistemas modernos con servicios actualizados pueden contrarrestar mejor estos ataques, lo que exige un compromiso permanente con las actualizaciones tecnológicas.

 

Resumen
Anulación de los controles de acceso al sistema
Nombre del artículo
Anulación de los controles de acceso al sistema
Descripción
Controles de acceso al sistema: consulte un análisis más detallado en un reciente asesoramiento conjunto sobre ciberseguridad de la NSA y la CISA sobre los principales problemas de ciberseguridad.
Autor
Nombre del editor
TuxCare
Logotipo de la editorial

¿Desea automatizar la aplicación de parches de vulnerabilidad sin reiniciar el núcleo, dejar el sistema fuera de servicio o programar ventanas de mantenimiento?

Más información sobre Live Patching con TuxCare

Conviértete en escritor invitado de TuxCare

Empezar

Correo

Únete a

4,500

Profesionales de Linux y código abierto

Suscríbase a
nuestro boletín