¿Cuáles son los riesgos que plantea la “autenticación de paso” y cómo se mitigan?

3
  

Relacionados:
El administrador local tiene derechos de administrador de dominio

La "autenticación de paso" en los sistemas Windows permite la posibilidad de que las cuentas de usuarios con el mismo nombre y contraseña se identifiquen entre sí, aunque no estén destinadas a tener los mismos privilegios.

Ejemplo:

  

Supongamos que tenemos una PC independiente, no unida a ningún dominio. La PC se llama MyPC y tiene una cuenta llamada MyAdmin . La contraseña para MyAdmin es, poco original, password .

     

Entonces tenemos un dominio llamado MyDomain . El administrador de la red decidió llamar a una cuenta de administrador de dominio MyAdmin y, en una demostración de pura incompetencia, le dio una contraseña de password .

     

Por alguna razón, existe una conexión de red sin filtro entre MyPC y todas las computadoras en MyDomain .

     

Cualquier persona que pueda iniciar sesión en MyPC como MyPC\MyAdmin puede ejercer privilegios de administrador de dominio completos en cualquier sistema en MyDomain , como si realmente hubiera iniciado sesión como MyDomain\MyAdmin , sin que se le solicite ingresar ninguna información adicional. credenciales.

Intuitivamente, esto parece incorrecto porque (aunque pueden tener el mismo nombre de usuario y contraseña básicos) MyPC\MyAdmin y MyDomain\MyAdmin son dos cuentas de usuario diferentes, creadas en diferentes ámbitos, con diferentes permisos. Sin embargo, ¿qué riesgos reales de seguridad plantea esto? ¿Cómo se pueden mitigar esos riesgos o cómo se mitigan ya por el diseño? ¿Cambia el riesgo si el "pícaro" MyAdmin es una cuenta local en una computadora que está unida al dominio en lugar de solo un sistema independiente aleatorio?

    
pregunta Iszi 23.10.2013 - 23:43
fuente

1 respuesta

3

Aquí está la parte difícil acerca del problema en su pregunta: No existe . No, no, no estoy siendo snarky. Escúchame.

Tienes una cuenta de administrador de dominio con la contraseña password (o cualquier contraseña de ese tipo), y el atacante creó una cuenta local con el mismo nombre de usuario y contraseña. Sin necesidad de crear una cuenta local, el atacante puede simplemente usar el nombre de usuario MyAdmin y la contraseña password para iniciar sesión y usar MyDomain\MyAdmin .

El problema no tiene nada que ver con el esquema de autenticación de paso, el problema es con el uso de tales contraseñas. Incluso si, por ejemplo, deshabilitó toda la funcionalidad, el atacante aún puede usar la combinación de nombre de usuario y contraseña.

Si te hace dormir mejor por la noche, puedes deshabilitar completamente el tráfico de autenticación NTLM entrante configurando la siguiente política de seguridad en la Política de grupo \Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options\Incoming NTLM traffic a Deny all domain accounts .

    
respondido por el Adi 24.10.2013 - 03:01
fuente

Lea otras preguntas en las etiquetas