Loading....

Actualización de Seguridad CredSSP para Microsoft Windows

Actualización de Seguridad CredSSP para Microsoft Windows

El 13 de Marzo de este año, Microsoft liberó en su patch una actualización de seguridad que responde a la vulnerabilidad CVE-2018-0886. Ataques a esta vulnerabilidad podrían terminar con el criminal obteniendo los permisos necesarios para moverse de forma lateral en la red de la víctima.

Esta actualización de seguridad para Windows, mitiga la vulnerabilidad CVE-2018-0886 presente en el protocolo CredSSP .  Esta vulnerabilidad puede ser aprovechada por un atacante para obtener acceso no autorizado a un sistema vulnerable.

¿En qué consiste la vulnerabilidad?

La vulnerabilidad consiste en un error de diseño en CredSSP, que es un Proveedor de Soporte de Seguridad involucrado con el Escritorio Remoto y Administración Remota de Windows.  Por medio de un ataque Man-in-the-Middle, un atacante en esa sesión puede abusar de su poder para correr código arbitrario en el servidor objetivo en nombre del usuario.

Debido a que las sesiones de escritorio remoto son muy comunes, esta vulnerabilidad es realmente valiosa para los atacantes. Más allá, debido a su diseño, esta vulnerabilidada existe en todas las versiones de Windows, desde vista, mientras la corrección no sea aplicada.

Características de la Actualización

Luego de esta actualización, ofrecida tanto a equipos de escritorio como servidores, la conexión a servicios de escritorio remoto es bloqueada como método de protección a la mencionada vulnerabilidad.

NSIT: Error de Servicio en escritorio remoto.

 

Sin embargo, después de la actualización, este error se presenta. Es debido a que el cliente se encuentra con el parche de seguridad, pero el servidor al que se está conectando aún es vulnerable.

La acción recomendada para solucionar este problema, es aplicar la actualización recomendada de seguridad en los Servidores de terminal Server. Puedes encontrar la actualización aquí.

La situación ideal implica tener nuestro entrono mitigado para garantizar una conectividad segura entre nuestros clientes y servidores:

NSIT: Entornos mitigados

Otras Opciones

Como método provisional y temporal, es posible permitir la conexión no segura deshabilitando la validación de seguridad. Para esto, debemos entrar a través del editor de políticas local, a la ruta:

Configuración de Equipo > Plantillas Administrativas > Sistema > Delegación de credenciales > Corrección del oráculo de cifrado

NSIT: Plantillas Administrativas

En esta directiva podemos encontrar las siguientes opciones:

  • Forzar clientes actualizados:

    Las aplicaciones cliente que usen CredSSP no podrán revertirse a las versiones no seguras, y los servicios que usen CredSSP no aceptarán clientes sin revisión. Nota: esta configuración no debe implementarse hasta que todos los hosts remotos sean compatibles con la versión más reciente.

  • Mitigado:

    Las aplicaciones cliente que usen CredSSP no podrán revertirse a la versión no segura, pero los servicios que usen CredSSP aceptarán clientes sin revisión. Consulta este vínculo para obtener información importante sobre el riesgo que plantean los clientes sin revisión restantes.

  • Vulnerable:

    Las aplicaciones cliente que usen CredSSP expondrán los servidores remotos a ataques al admitir la reversión a versiones no seguras. Además, los servicios que usen CredSSP aceptarán clientes sin revisión.

Seleccionamos ‘Vulnerable’ y reiniciamos el equipo para que tome el cambio. Después de esto, podremos conectarnos a cualquier servidor, aunque esté parchado o sea vulnerable. Sin embargo, la última opción no es recomendable, y se sugiere únicamente como opción para trabajar mientras se parchean los servidores. Después de esto, es recomendable marcarlo como ‘Mitigado’ de nuevo.

NSIT: Mitigar Servidores

Esta opción puede ser desplegada desde una GPO, y puede ser encontrada en la ruta mencionada anteriormente.


Puedes encontrar más información al respecto de esta vulnerabilidad, visitando los siguientes enlaces:

Si deseas más información acerca de cómo proteger tu empresa, también puedes escribir por medio de nuestro chat en línea.

Leave a Review

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*
*

uno × 3 =

Back To Top