Análisis de vulnerabilidades mediante Hacking Ético a una red interna aplicando técnicas como escalada de privilegios

Abstract

Con el avance tecnológico y el aumento de dispositivos conectados al internet multiplica los vectores de ataque hacia los sistemas informáticos. En respuesta se realizó un análisis con enfoque de caja gris a la red interna de Mastercleans S.A., realizada desde una estación Kali Linux, se identificaron 7 vulnerabilidades que comprometen la confidencialidad, integridad y disponibilidad de los sistemas de la organización clasificadas por el score CVSS. El análisis fue enfocado hacia la infraestructura de Active Directory de la organización. La cadena de ataque inicio comprometiendo el servidor CASTELLBLACK, el cual no tenía el protocolo SMB firmado, y por ende fue susceptible a ataques de envenenamiento NTLM vía NBT-NS y LLMNR, permitiendo la captura de hashes NTLM incluyendo los del usuario Administrator, y crackearlos con la heramienta hashcat. Se aplicaron técnicas como Pass the Hash que facilito el acceso administrativo al equipo sin credenciales en texto plano. También fue posible la carga de una webshell hacia un sitio web alojado en un servidor IIS que permitió la ejecución remota de código (RCE). Para la escalada de privilegios se abusó del permiso SetImpersonatePrivilege del usuario apppool y se usó la herramienta Petit Potato para escalar privilegios hasta NT Authority\System, además se pudo evadir la solución de Windows Defender aplicando técnicas de ofuscación. Se recomienda que Mastercleans implemente un plan de remediación urgente para abordar los hallazgos críticos y altos, seguido de una evaluación más profunda de Active Directory para fortalecer la seguridad, dificultar ataques y mejorar la detección y respuesta ante actividades sospechosas. Technological advancements and the increase in internet-connected devices are multiplying the attack vectors on computer systems. In response, a gray-box analysis was performed on the internal network of Mastercleans S.A., carried out from a Kali Linux workstation. Seven vulnerabilities were identified that compromise the confidentiality, integrity, and availability of the organization's systems, classified by the CVSS score. The analysis focused on theorganization's Active Directory infrastructure. The attack chain began by compromising the CASTELLBLACK server, which did not have the signed SMB protocol and was therefore susceptible to NTLM poisoning attacks via NBT-NS and LLMNR, allowing the capture of NTLM hashes, including those of the Administrator user, and cracking them with the hashcattool. Techniques such as Pass the Hash are applied, which facilitates administrative access to the computer without plaintext credentials. A webshell was also uploaded to a website hosted on an IIS server, enabling remote code execution (RCE). Privilege escalation was achieved by abusing the SetImpersonatePrivilege permission of the apppool user, using the Petit Potato tool to escalate privileges to NT Authority\System. The Windows Defender solution was also evaded by applying obfuscation techniques. Mastercleans recommends implementing an urgent remediation plan to address the critical and high findings, followed by a more in-depth assessment of Active Directory to strengthen security, hinder attacks, and improve detection and response to suspicious activity.