Investigadores de Core Security pudieron explotar una vulnerabilidad de seguridad en Group Policy de Windows -MS15-011- que fue parchada en febrero por Microsoft.

Nicolas Economou, desarrollador sinior de exploits en Core Security, explicó en una entrada de blog la semana pasada que Microsoft sí había arreglado el error, el cual permitiría la ejecución de código remoto que, en ultima instancia, daría control total al atacante de un sistema afectado si un usuario con un sistema configurado para dominios era llevado a conectarse a una red controlada por el atacante.

Sin emargo, el boletín de Microsoft no fue suficiente para resolver el problema. Con el fin de resolver completamente esta vulnerabildad, los administradores deben configurar correctamente las rutas de convención de nomenclatura universal.

La vulnerabilidad, esencialmente, pone a las máquinas de los usuarios en riesgo de ataques man-in-the-middle cuando se conectan a un dominio, puesto que la falla asume que el controlador de dominio y la actualización de Group Policy son legítimas. La reparación se hizo para que las máquinas del lado del cliente puedan autenticar la identidad del controlador de dominio con la firma de bloqueo de mensajes del servidor (SMB). La solución no era exhaustiva y Economu fue capaz de pasar por alto la mitigación de Microsoft con una combinación de tres ataques.

Economou explicó que con el fin de que una máquina Windows acepte un Group Policy Object (GPO) falso y se modifiquen las claves del registro como consecuencia, necesitaba parecer como si el GPO proviniera de un servicio de Windows. Economou lo logró al finalizar el ataque con código ejecutado en la víctima como usuario del "sistema".

"Un archivo descargado en la actualización de GPO, GptTmpl.inf, contiene una sección llamada Valores del Registro, donde se puede añadir/cambiar/eliminar cualquier clave de registro de Windows", explicó Economou.

Después de construir una puerta de enlace predeterminada y un protocolo de resolución de direcciones falsas, las reglas de manejo de puertos de envío y un servidor SMB falso, fue capaz de distribuir el exploit con éxito y tomar el control completo del dispositivo afectado. En pocas palabras, liberó un ataque de suplantación ARP (Address Resolution Protocol), lo que le permitiría colocar una máquina de ataque como un man-in-the-middle entre el objetivo y la puerta de enlace predeterminada, vinculando la máquina de destino a un controlador de dominio en una red distinta. Debido a la falta de controles sobre el servidor SMB, el atacante pudo enviar una GPO maliciosa hacia el equipo de destino.