{"id":1408273,"date":"2024-10-22T16:54:43","date_gmt":"2024-10-22T16:54:43","guid":{"rendered":"https:\/\/teknomers.com\/es\/un-fallo-de-seguridad-en-la-opa-de-styra-expone-los-hashes-ntlm-a-atacantes-remotos\/"},"modified":"2024-10-22T16:54:47","modified_gmt":"2024-10-22T16:54:47","slug":"un-fallo-de-seguridad-en-la-opa-de-styra-expone-los-hashes-ntlm-a-atacantes-remotos","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/un-fallo-de-seguridad-en-la-opa-de-styra-expone-los-hashes-ntlm-a-atacantes-remotos\/","title":{"rendered":"Un fallo de seguridad en la OPA de Styra expone los hashes NTLM a atacantes remotos"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">22 de octubre de 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Vulnerabilidad\/Seguridad del software<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/10\/Un-fallo-de-seguridad-en-la-OPA-de-Styra-expone.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><\/a><\/div>\n<p>Han surgido detalles sobre una falla de seguridad ahora parcheada en Open Policy Agent de Styra (<a rel=\"nofollow noopener\" href=\"https:\/\/www.openpolicyagent.org\" target=\"_blank\">OPA<\/a>) que, si se hubiera explotado con \u00e9xito, podr\u00eda haber dado lugar a una fuga de New Technology LAN Manager (<a rel=\"nofollow noopener\" href=\"https:\/\/learn.microsoft.com\/en-us\/windows-server\/security\/kerberos\/ntlm-overview\" target=\"_blank\">NTLM<\/a>) hashes.<\/p>\n<p>&#8220;La vulnerabilidad podr\u00eda haber permitido a un atacante filtrar las credenciales NTLM de la cuenta de usuario local del servidor OPA a un servidor remoto, lo que podr\u00eda permitir al atacante transmitir la autenticaci\u00f3n o descifrar la contrase\u00f1a&#8221;, dijo la firma de ciberseguridad Tenable. <a rel=\"nofollow noopener\" href=\"https:\/\/www.tenable.com\/blog\/cve-2024-8260-smb-force-authentication-vulnerability-in-opa-could-lead-to-credential-leakage\" target=\"_blank\">dicho<\/a> en un informe compartido con The Hacker News.<\/p>\n<p>La falla de seguridad, descrita como una vulnerabilidad de autenticaci\u00f3n forzada del Bloque de mensajes del servidor (SMB) y rastreada como <a rel=\"nofollow noopener\" href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2024-8260\" target=\"_blank\">CVE-2024-8260<\/a> (Puntuaci\u00f3n CVSS: 6.1\/7.3), afecta tanto a la CLI como al kit de desarrollo de software (SDK) Go para Windows.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/saas-security-2024-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/10\/1727895757_55_Aplicaciones-comerciales-falsas-se-dirigen-a-victimas-en-todo-el.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>En esencia, la cuesti\u00f3n surge de una <a rel=\"nofollow noopener\" href=\"https:\/\/www.tenable.com\/security\/research\/tra-2024-36\" target=\"_blank\">validaci\u00f3n de entrada incorrecta<\/a> eso puede conducir a un acceso no autorizado al filtrar el hash Net-NTLMv2 del usuario que actualmente ha iniciado sesi\u00f3n en el dispositivo Windows que ejecuta la aplicaci\u00f3n OPA.<\/p>\n<p>Sin embargo, para que esto funcione, la v\u00edctima debe estar en condiciones de iniciar el tr\u00e1fico saliente del Bloque de mensajes del servidor (SMB) a trav\u00e9s del puerto 445. Algunos de los otros requisitos previos que contribuyen a la gravedad media se enumeran a continuaci\u00f3n:<\/p>\n<ul>\n<li>Un punto de apoyo inicial en el entorno, o ingenier\u00eda social de un usuario, que allana el camino para la ejecuci\u00f3n de la CLI de OPA.<\/li>\n<li>Pasar una ruta de Convenci\u00f3n de nomenclatura universal (UNC) en lugar de un archivo de reglas Rego como argumento para OPA CLI o las funciones de la biblioteca OPA Go<\/li>\n<\/ul>\n<p>La credencial capturada de esta manera podr\u00eda usarse como arma para realizar un ataque de retransmisi\u00f3n con el fin de eludir la autenticaci\u00f3n o realizar un descifrado fuera de l\u00ednea para extraer la contrase\u00f1a.<\/p>\n<p>&#8220;Cuando un usuario o una aplicaci\u00f3n intenta acceder a un recurso compartido remoto en Windows, obliga a la m\u00e1quina local a autenticarse en el servidor remoto a trav\u00e9s de NTLM&#8221;, dijo la investigadora de seguridad de Tenable, Shelly Raban.<\/p>\n<p>&#8220;Durante este proceso, el hash NTLM del usuario local se env\u00eda al servidor remoto. Un atacante puede aprovechar este mecanismo para capturar las credenciales, lo que le permite transmitir la autenticaci\u00f3n o descifrar los hashes fuera de l\u00ednea&#8221;.<\/p>\n<p>Tras la divulgaci\u00f3n responsable el 19 de junio de 2024, la vulnerabilidad se abord\u00f3 en <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/open-policy-agent\/opa\/releases\/tag\/v0.68.0\" target=\"_blank\">versi\u00f3n 0.68.0<\/a> lanzado el 29 de agosto de 2024.<\/p>\n<p>&#8220;A medida que los proyectos de c\u00f3digo abierto se integran en soluciones generalizadas, es crucial garantizar que sean seguros y no expongan a los proveedores y sus clientes a una mayor superficie de ataque&#8221;, se\u00f1al\u00f3 la compa\u00f1\u00eda. &#8220;Adem\u00e1s, las organizaciones deben minimizar la exposici\u00f3n p\u00fablica de los servicios a menos que sea absolutamente necesario para proteger sus sistemas&#8221;.<\/p>\n<p>La divulgaci\u00f3n se produce cuando Akamai arroj\u00f3 luz sobre una falla de escalada de privilegios en el Servicio de Registro Remoto de Microsoft (<a rel=\"nofollow noopener\" href=\"https:\/\/msrc.microsoft.com\/update-guide\/en-US\/vulnerability\/CVE-2024-43532\" target=\"_blank\">CVE-2024-43532<\/a>puntuaci\u00f3n CVSS: 8,8) que podr\u00eda permitir a un atacante obtener privilegios del SISTEMA mediante una retransmisi\u00f3n NTLM. El gigante tecnol\u00f3gico lo parch\u00f3 a principios de este mes despu\u00e9s de que se informara el 1 de febrero de 2024.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/huntress-storytime-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/10\/1727886513_963_CeranaKeeper-vinculada-a-China-apunta-al-sudeste-asiatico-con-filtracion.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>&#8220;La vulnerabilidad abusa de un mecanismo de respaldo en WinReg [RPC] implementaci\u00f3n de cliente que utiliza protocolos de transporte obsoletos de forma insegura si el transporte SMB no est\u00e1 disponible&#8221;, afirma el investigador de Akamai Stiv Kupchik. <a rel=\"nofollow noopener\" href=\"https:\/\/www.akamai.com\/blog\/security-research\/2024\/oct\/winreg-relay-vulnerability\" target=\"_blank\">dicho<\/a>.<\/p>\n<p>&#8220;Al explotar esta vulnerabilidad, un atacante puede transmitir los detalles de autenticaci\u00f3n NTLM del cliente a los Servicios de certificados de Active Directory (ADCS) y solicitar un certificado de usuario para aprovechar una mayor autenticaci\u00f3n en el dominio&#8221;.<\/p>\n<p>La susceptibilidad de NTLM a los ataques de retransmisi\u00f3n no ha pasado desapercibida para Microsoft, que, a principios de mayo, reiter\u00f3 sus planes de retirar NTLM en Windows 11 en favor de Kerberos como parte de sus esfuerzos para fortalecer la autenticaci\u00f3n de usuarios.<\/p>\n<p>&#8220;Si bien la mayor\u00eda de los servidores y clientes RPC son seguros hoy en d\u00eda, es posible, de vez en cuando, descubrir reliquias de implementaci\u00f3n insegura en diversos grados&#8221;, dijo Kupchik. &#8220;En este caso, logramos lograr la retransmisi\u00f3n NTLM, que es una clase de ataques que es mejor que pertenezca al pasado&#8221;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 interesante este art\u00edculo? S\u00edguenos en <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/10\/security-flaw-in-styras-opa-exposes.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80222 de octubre de 2024\ue804Ravie LakshmananVulnerabilidad\/Seguridad del software Han surgido detalles sobre una falla de seguridad ahora parcheada<\/p>\n","protected":false},"author":1,"featured_media":1408274,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,18041,4661,4664,4013,10273,204398,201033,36,4654,201031,4659,4653,4655,80890,29909,28582,42,246983,255454,246984,201032,259320,246982,4660],"class_list":["post-1408273","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-atacantes","tag-ataques-ciberneticos","tag-como-hackear","tag-expone","tag-fallo","tag-hashes","tag-las-noticias-de-los-piratas-informaticos","tag-los","tag-noticias-ciberneticas","tag-noticias-de-piratas-informaticos","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-ntlm","tag-opa","tag-remotos","tag-seguridad","tag-seguridad-de-la-informacion","tag-seguridad-de-red","tag-seguridad-informatica","tag-software-malicioso-ransomware","tag-styra","tag-violacion-de-datos","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1408273","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1408273"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1408273\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1408274"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1408273"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1408273"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1408273"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}