Esta vulnerabilidad salió éste pasado 12 de Julio y tiene tanto impacto que Windows dijo que sea probablemente el secreto mejor conocido del mundo hacking.

Hola a todos, les comparto esta información que llegó a mis oídos y creo que es muy importante tenerla en mente si eres sysadmin o tienes algún Windows Server bajo tu responsabilidad.

La cosa es que la vulnerabilidad CVE-2017-8563 permite al atacante robarse la sesión de Administrador o mejor dicho crear una nueva sesión con privilegios de Administrador en el directorio Activo cuando tienes como autenticación NTLM (NT Lan Manager ), un producto de Windows también.

En un escenario de ataque remoto, el atacante podría ejecutar algún exploit o peor aún, un ransonware para secuestrar tu información, por ejemplo.

Workaround? No existe, incluso aplicar parches no solucionaría mucho, lo ideal es dejar de usar NTLM como protocolo de autenticación, o bien dejar de usar Active Directory. También se debe crear una configuración de LdapEnforceChannelBinding en un controlador de Dominio.

Les dejo la liga de como realizar el LdapEnforceChannelBinding

PD: Todas las versiones de Windows Server son vulnerables.

PD2: Esta vulnerabilidad de NTLM también podría permitir que los atacantes se conecten a máquinas remotas a través de RDP (Remote Desktop Protocol) utilizando técnicas como pasar el hash, según informan los expertos. Holy sheet :/ 

Engineer, Mom, SysAdmin, Linux/Unix, Backup & Storage, Astronomy, Dev Girl.