La vulnerabilidad CVE-2013-1282 en el servicio de Active Directory consiste en que un cracker explota el fallo de seguridad por medio de un ataque denegación de servicio en la cual el mismo envía una consulta diseñada para Lightweight Directory Access Protocol (LDAP), logrando que el pirata informático manipule la información confidencial almacenada en el servicio LDAP en beneficio propio.(Hernández, 2013)
Sistemas Windows Server 2008 y 2012 afectados
A continuación, se detallará los sistemas que fueron afectados por la vulnerabilidad de Windows Server 2008 y 2012 en la siguiente tabla:
Cuadro No. 9 Sistemas afectados
Sistema Operativo Servicio Vulnerabilidad
Microsoft Windows Server 2008 R2 for x64-based Systems.
Active Directory Lightweight Directory Service (AD LDS).
2772930
Microsoft Windows Server 2008 R2 for x64-based Systems.
Active Directory Services.
2772930
Microsoft Windows Server 2008 R2 for x64-based Systems Service Pack 1.
Active Directory Lightweight Directory Service (AD LDS).
2772930
Microsoft Windows Server 2008 R2 for x64-based Systems Service Pack 1.
Active Directory Services.
37 Microsoft Windows Server 2008 R2
for x64-based Systems Service Pack 1 (Server Core installation).
Active Directory Lightweight Directory Service (AD LDS).
2772930
Microsoft Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation).
Active Directory Services.
2772930
Microsoft Windows Server 2008 R2 for x64-based Systems Service Pack 2 (Server Core installation).
Active Directory Lightweight Directory Service (AD LDS).
2772930
Microsoft Windows Server 2008 R2 for x64-based Systems Service Pack 2 (Server Core installation).
Active Directory Services.
2772930
Microsoft Windows Server 2008 for 32-bit Systems and Windows Server 2008 for 32-bit Systems Service Pack 2*
Active Directory Lightweight Directory Service (AD LDS).
2772930
Microsoft Windows Server 2008 for 32-bit Systems and Windows Server 2008 for 32-bit Systems Service Pack 2*
Active Directory Services.
2772930
Microsoft Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation).
Active Directory Lightweight Directory Service (AD LDS).
2772930
Microsoft Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation).
Active Directory Services.
2772930
Microsoft Windows Server 2008 for x64-based Systems and Windows
Active Directory Lightweight Directory Service (AD LDS).
38 Server 2008 for x64-based Systems
Service Pack 2*.
Microsoft Windows Server 2008 for x64-based Systems and Windows Server 2008 for x64-based Systems Service Pack 2*
Active Directory Services.
2772930
Microsoft Windows Server 2012. Active Directory Services.
2772930
Microsoft Windows Server 2012 (Server Core installation)
Active Directory Services.
2772930
Fuente: Microsoft Corp.
Autores: Javier Quevedo-Javier Sesme
Índice de explotación de la vulnerabilidad
• Vulnerabilidad de consumo de memoria CVE-2013-1282.
• Código de explotación inconsistente.
Descripción de la vulnerabilidad CVE-2013-1282
Una vulnerabilidad de denegación de servicio en implementaciones de Active Directory al ser explotada por un atacante malicioso produce que el servicio de Active Directory deje de responder. El fallo de seguridad se debe a que el servicio LDAP falla al manejar una consulta especialmente diseñada.(Hernández, 2013)
Impacto de la vulnerabilidad CVE-2013-1282
El impacto se produce cuando un cracker explota la vulnerabilidad logrando que el servicio de Active Directory deje de responder ante las peticiones de los usuarios.(Hernández, 2013)
39 Vulnerabilidad en el servicio de Active Directory a escalas de privilegios
La vulnerabilidad CVE-2015-1757 mediante una explotación de esta permite la elevación de privilegios de manera descontrolada por medio del envío de una URL maliciosa diseñada al sitio objetivo.(Martínez, 2015)
Sistemas afectados por esta vulnerabilidad CVE-2015-1757
A continuación, se detallará los sistemas que fueron afectados por la vulnerabilidad CVE-2015-1757 en la siguiente tabla.
Cuadro No. 10 Sistemas afectados por la vulnerabilidad CVE-2015-1757
Sistema Operativo Servicio Vulnerabilidad
Windows Server 2008 R2 for x64-based Systems Service Pack 1 Active Directory Federation Services 2.0
Active Directory 3062577
Windows Server 2008 for 32-bit Systems Service Pack 2 Active Directory Federation Services 2.0
Active Directory 3062577
Windows Server 2008 for x64-based Systems Service Pack 2 Active Directory Federation Services 2.0 Active Directory 3062577 Windows Server 2012 Active Directory Federation Services 2.1 Active Directory 3062577
Fuente: Microsoft Corp.
40 Índice de explotabilidad
• Vulnerabilidad de elevación de privilegios en ADFS XSS CVE-2015-1757.
• Código de explotación.
Descripción de la vulnerabilidad de elevación de privilegios en ADFS XSS CVE- 2015-1757
Una vulnerabilidad de elevación de privilegios consiste en enviar una URL con el objetivo de inyectar código malicioso en el sistema operativo Windows Server con la finalidad de obtener el acceso a los servicios de Active Directory de manera remota logrando la escala de privilegios.(Martínez, 2015)
Impacto de la vulnerabilidadde elevación de privilegios en ADFS XSS CVE-2015- 1757
Consiste que un atacante explote por completo esta vulnerabilidad por medio de una intrusión XSS (Cross-Site Scripting) con la finalidad de ejecutar scripts no autorizados.(Martínez, 2015)
Vulnerabilidad CVE-2017-8613 referente al acceso de usuarios privilegiados en el Active Directory
La vulnerabilidad consiste en la cual un atacante malicioso restablece las contraseñas de los usuarios Active Directory con el fin de tener el acceso no autorizado a cada cuenta de usuario con privilegios importantes asignados por el servicio de Active Directory.(Microsoft, 2017)
41 Vulnerabilidades en los servidores DNS
• CVE-2017-14491: Consiste en desbordar el búfer en el servidor DNS para la inyección de código de forma remota en el servidor afectado.(Velasco, 2017)
• CVE-2017-14495: Fallo de seguridad al liberar recursos del servidor DNS en la cual la información puede estar expuesta ante atacantes maliciosos con la finalidad de usarla en beneficio propio.(Velasco, 2017)
• CVE-2017-14496: Fallo en las comprobaciones de las variables del servidor DNS debido a esta debilidad se puede producir un ataque de denegación de servicio.(Velasco, 2017)
• CVE-2017-13704: Fallo en la colisión del servidor DNS que puede ser utilizado para realizar ataques de denegación de servicio.(Velasco, 2017)
Ataque hombre en el medio a través de SSLSTRIP
La aplicación SSLSTRIP permite la conversión de aplicaciones web HTTPS a HTTP con la finalidad de que los atacantes capturen tráfico de red generados por las víctimas.(Maksutov, Cherepanov, & Alekseev, 2017)
El principio del ataque es:
• La victima realiza la transición https://example.com redirigiéndolo automáticamente.
• El atacante intercepta la solicitud de autorización del servidor al cliente y reemplaza https://account.example.com en http://accaunt.example.com
• El navegador web del usuario realiza una consulta DNS para resolver el nombre accaunt.example.com que el atacante intercepta.
• El navegador web de la víctima examina la lista de HSTS preinstalada y la lista de dominios que visito anteriormente.
42 Gráfico No. 9 Ataque SSLSTRIP
Fuente: http://0-ieeexplore.ieee.org.almirez.ual.es/document/8071970/ Autores:Maksutov, Artem A Cherepanov, Ilya A
Alekseev, Maksim S
Ataque DNS-SPOOFING
El ataque DNS Spoofing consiste en alterar las direcciones de los servidores DNS que utiliza la víctima, de este modo el atacante toma el control de las consultas que realiza el usuario.
A continuación, se detallará los siguientes pasos del ataque DNS Spoofing por medio de la herramienta Caín y Abel:
• Desactivación del firewall de Windows para la ejecución de la herramienta Caín&Abel en modo administrador.
• Una vez activada la aplicación de Sniffer se realiza el escaneo de direcciones IP pertenecientes a la red.
• Activación de la opción ARP (Protocolo de resolución de direcciones).
• Selección de las direcciones IP para la realización del ataque.
• Selección de la puerta de enlace del router y la IP de la víctima.
• Activación del envenenamiento ARP.
• Selección de la opción ARP-DNS.
• Especificación del nombre del dominio a suplantar.
43 Gráfico No. 10 Ataque DNS Spoofing
Fuente: https://hackpuntes.com/ataque-dns-spoofing-con-cainabel/ Autor: Javier Olmedo
Vulnerabilidades en los servidores DHCP
A continuación, se presentará las dos vulnerabilidades presentes en los servidores DHCP:
• CVE-2017-14492: Consiste en desbordar el buffer en el servidor DHCP para la ejecución de código malicioso de forma remota en el servidor afectado.(Velasco, 2017)
• CVE-2017-14494: Fallo de seguridad que evade el ASLR con el fin de filtrar información en el servidor DHCP.(Velasco, 2017)