Investigadores de la firma de seguridad GRIMM reportan el hallazgo de una vulnerabilidad crítica en la solución de administración y auditoría de red Domain Time II que podría ser explotada para desplegar una variante de ataque identificada como Man-on-the-Side (MotS).
Sobre esta variante de ataque, los expertos mencionan que es muy similar al ataque Man-in-The-Middle (MiTM), aunque en lugar de controlar un nodo de red completo el ataque MotS permite acceso solo a un canal de comunicación. No obstante, esto es más que suficiente para leer el tráfico.
Acorde al reporte, Domain Time II consiste en programas cliente y servidor que emplean el mismo ejecutable (dttray.exe) para la búsqueda de actualizaciones: “El ejecutable verifica el servidor de actualización enviando una consulta UDP independientemente del método de actualización empleado por el administrador. Si la respuesta del servidor es una URL, el software notificará si una actualización está disponible.”
Si los administradores aceptan este cuadro de diálogo, se abrirá una ventana del navegador para la URL proporcionada, indicando al usuario que debe descargar e instalar la actualización. En este punto, los actores de amenazas podrían interceptar la consulta UDP y entregar su propia URL al software para que el usuario descargue e instale una carga útil maliciosa: “Cualquier ejecutable implementado de esta manera se ejecutaría con privilegios de usuario, aunque podría solicitar la elevación de privilegios de la misma manera que lo hace el instalador legítimo”, señala el reporte.
Los expertos desarrollaron un script para demostrar la forma en que un hacker malicioso podría abusar de esta falla en el proceso de actualización. Este script escucha en la red de tráfico de actualización y puede responder a cierto tipo de solicitudes. La prueba de concepto (PoC) también describe un método para suplantar el Protocolo de transferencia de hipertexto (HTTP), para responder también a las solicitudes HTTP y dirigir a los usuarios a un sitio web de apariencia legítima pero que en realidad usa HTTP en lugar de HTTPS.
La prueba de concepto proporcionada por los especialistas fue verificada usando las siguientes versiones de Domain Time II:
- 4.1.b.20070308
- 5.1.b.20100731
- 5.2.b.20210103
Debido a que la falla se encuentra en versiones lanzadas hace un tiempo considerable, los expertos creen que ha existido por alrededor de diez años.
Con el servidor Domain Time II instalado en un controlador de dominio dentro de un entorno de Active Directory y el componente de actualización ejecutándose de forma local, un atacante capaz de realizar un ataque MotS podría ejecutar malware con privilegios administrativos en el servidor con relativa facilidad.
Los expertos concluyen mencionando que un potencial compromiso del servidor podría llevar a los actores de amenazas a realizar ataques laterales a todos los entornos conectados al punto inicial, ya que el servidor de Domain Time II es capaz de rastrear y actualizar versiones del software cliente a través de la red.
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.