Conexiones anónimas bajo Windows 2000
Por diversos motivos, que ahora no vienen al caso, ultimamente he estado jugando bastante con los protocolos de red SMB/CIFS y con los mecanismos de autenticación de Microsoft, entre ellos, nuestro querido e infumable NTLM (ver imagen adjunta XD) que, pesar de seguir siendo totalmente inseguro, su uso es soportado a día de hoy en la mayoría de los sistemas, y es un mecanismo totalmente válido para establecer conexiones en entornos windows cuando kerberos no esta disponible.
La autenticacion con NTLM es sencilla, un cliente establece una conexion contra un servidor y le indica que se quiere conectar usando NTLMv1 a lo que el servidor responde devolviendo la información necesaria para llevar esto a cabo, es decir, su nombre de equipo, el del dominio al que pertenece, y un challenge (clave) para cifrar la contraseña.
Lo esperado en este momento es que el cliente cifre la contraseña del usuario con ese challenge e indique al servidor el nombre de usuario, el dominio al que pertenece la cuenta y el nombre del equipo que inicia el proceso de autenticación.
Independientemente del resultado de este proceso de autenticación, Windows genera un evento de seguridad registrando el inicio de sesión. El problema reside en que Windows 2000, no almacena en este evento la dirección ip de origen, si no que guarda como estación de origen, el nombre de netbios especificado en el paquete NTLM de tipo 3.
Como bien podreis intuir, es posible autenticarse contra un sistema Windows 2000 usando ntlm y enviar un paquete malformado que contenga un nombre de netbios falso, o incluso no enviar el nombre de forma que, a la hora de visualizar los eventos de seguridad del equipo, no será posible identificar el origen de las conexiones.
Esto es especialmente util para intentar saltarse sistemas IDS, motores de correlacion de eventos, o realizar conexiones y ataques de fuerza bruta completamente anónimos.
Microsoft está al tanto de esta vulnerabilidad, así que esperemos que antes o despues nos faciliten un parche de seguridad para esta vulnerabilidad.
Hasta la próxima.