Al observar que los sistemas empresariales de Windows son vulnerables a los ataques KrbRelayUp, Microsoft publicó pautas de mitigación públicas para todas las empresas.
Algunos de estos incluyen asegurar las comunicaciones entre los clientes LDAP y los controladores AD mediante la aplicación de la firma del servidor LDAP y también habilitando la Protección extendida para la autenticación (EPA). El equipo de investigación de Microsoft 365 Defender también ha detallado cómo funcionan estos ataques para que los administradores del sistema aprendan mejor.
Mitigación de los ataques KrbRelayUp
Inmediatamente después de descubrir la falla KrbRelayUp, un investigador de seguridad llamado Mor Davidovich ha lanzado una herramienta gratuita para cavar a través de los sistemas vulnerables, simplemente facilitando que los actores de amenazas exploten los sistemas de destino.
La herramienta de Davidovich permitirá a los atacantes obtener privilegios de SISTEMA en sistemas Windows con configuraciones predeterminadas, lo que funciona no solo en el exploit KrbRelay, sino también en otras herramientas de escalada de privilegios como SCMUACBypass, PowerMad/SharpMad, Whisker y ADCSPwn.
el mas tarde actualizó la herramienta para incluir un sistema que no haya aplicado la firma LDAP. Aunque Microsoft dijo que esta herramienta no funciona para organizaciones con entornos de Azure Active Directory basados en la nube, los atacantes que comprometen las máquinas virtuales de Azure en entornos AD híbridos pueden ser explotados.
Por lo tanto, Microsoft ha llegado ahora con pautas de mitigaciónsolicitando a los administradores del sistema que aseguren las comunicaciones entre los clientes LDAP y los controladores de dominio de Active Directory (AD), al hacer cumplir la firma del servidor LDAP y habilitar la protección extendida para la autenticación (EPA).
Las organizaciones también deben considerar establecer el ms-DS-MachineAccountQuota atributo a 0 para que sea más difícil para un atacante aprovechar el atributo para los ataques. Establecer el atributo en 0 evita que los usuarios que no son administradores agreguen nuevos dispositivos al dominio, lo que bloquea el método más efectivo para llevar a cabo el primer paso del ataque y obliga a los atacantes a elegir métodos más complejos para adquirir un recurso adecuado.
Se recomienda revisar el explicación detallada proporcionado por Microsoft 365 Defender Research Team, sobre cómo funciona el ataque KrbRelayUp y cómo protegerse contra él.
