Cómo mitigar la vulnerabilidad SeriousSAM de Microsoft Windows 10, 11

Los usuarios de Microsoft Windows 10 y Windows 11 corren el riesgo de sufrir una nueva vulnerabilidad sin parche la cual se reveló públicamente recientemente.

Como se informo la semana pasada, la vulnerabilidad, SeriousSAM, permite a los atacantes con permisos de bajo nivel acceder a los archivos del sistema de Windows para realizar un ataque Pass-the-Hash (y potencialmente Silver Ticket).

Los atacantes pueden aprovechar esta vulnerabilidad para obtener contraseñas hash almacenadas en el Administrador de cuentas de seguridad (SAM) y en el Registro y, en última instancia, ejecutar código arbitrario con privilegios de SISTEMA.

La vulnerabilidad SeriousSAM, rastreada como CVE-2021-36934, existe en la configuración predeterminada de Windows 10 y Windows 11, específicamente debido a una configuración que permite permisos de ‘lectura’ para el grupo de usuarios integrado que contiene todos los usuarios locales.

Como resultado, los usuarios locales integrados tienen acceso para leer los archivos SAM y el Registro, donde también pueden ver los hash. Una vez que el atacante tiene acceso de ‘Usuario’, puede usar una herramienta como Mimikatz para obtener acceso al Registro o SAM, robar los hashes y convertirlos en contraseñas. Invadir a los usuarios del dominio de esa manera les dará a los atacantes privilegios elevados en la red.

Debido a que todavía no hay un parche oficial disponible de Microsoft, la mejor manera de proteger su entorno de la vulnerabilidad de SeriousSAM es implementar medidas de refuerzo.

Mitigar SeriousSAM

Según Dvir Goren, director de tecnología de CalCom, existen tres medidas de endurecimiento opcionales:

• Elimine a todos los usuarios del grupo de usuarios integrado: este es un buen lugar para comenzar, pero no lo protegerá si le roban las credenciales de administrador.
• Restrinja los archivos SAM y los permisos de registro: permita el acceso solo a los administradores. Esto, nuevamente, solo resolverá una parte del problema, ya que si un atacante roba las credenciales de administrador, usted seguirá siendo vulnerable a esta vulnerabilidad.
• No permita el almacenamiento de contraseñas y credenciales para la autenticación de red; esta regla también se recomienda en los puntos de referencia de CIS. Al implementar esta regla, no habrá hash almacenado en el SAM o el registro, mitigando así esta vulnerabilidad por completo.

Cuando utilice GPO para la implementación, asegúrese de que la siguiente ruta de la interfaz de usuario esté habilitada:

Configuración del equipo \ Políticas \ Configuración de Windows \ Configuración de seguridad \ Políticas locales \ Opciones de seguridad \ Acceso a la red: no permita el almacenamiento de contraseñas y credenciales para la autenticación de red

A pesar de que la última recomendación ofrece una buena solución para SeriousSAM, puede afectar negativamente a su producción si no se prueba adecuadamente antes de que se publique. Cuando esta configuración está habilitada, las aplicaciones que usan tareas programadas y necesitan almacenar los hash de los usuarios localmente fallarán.

Mitigar SeriousSAM sin correr el riesgo de causar daños a la producción

Las siguientes son las recomendaciones de Dvir para mitigar sin causar tiempo de inactividad:

• Configure un entorno de prueba que simule su entorno de producción. Simule todas las posibles dependencias de su red con la mayor precisión posible.
• Analice el impacto de esta regla en su entorno de prueba. De esta manera, si tiene aplicaciones que dependen de hashes que se almacenan localmente, lo sabrá de antemano y evitará el tiempo de inactividad de la producción.
• Impulsa la política siempre que sea posible. Asegúrese de que las máquinas nuevas también estén reforzadas y que la configuración no se desvíe con el tiempo.

Estas tres tareas son complejas y requieren muchos recursos y experiencia interna. Por lo tanto, la recomendación final de Dvir es automatizar todo el proceso de endurecimiento para evitar la necesidad de realizar las etapas 1, 2 y 3.

Esto es lo que obtendrá de una herramienta de automatización de Hardening:

• Genere automáticamente el informe de análisis de impacto más preciso posible: las herramientas de automatización reforzadas ‘aprenden’ sus dependencias de producción y le informan sobre el impacto potencial de cada regla de política.
• Aplique automáticamente su política en toda su producción desde un solo punto de control; con estas herramientas, no necesitará realizar trabajo manual, como el uso de GPO. Puede controlar y estar seguro de que todas sus máquinas están reforzadas.
• Mantenga su postura de cumplimiento y supervise sus máquinas en tiempo real: las herramientas de automatización reforzadas supervisarán su postura de cumplimiento, alertarán y remediarán cualquier cambio no autorizado en las configuraciones, evitando así desvíos de configuración.

Las herramientas de automatización reforzadas aprenderán las dependencias directamente de su red y generarán automáticamente un informe de análisis de impacto preciso. Una herramienta de automatización de refuerzo también lo ayudará a orquestar el proceso de implementación y monitoreo.