Los investigadores de Microsoft Itai Grady y Tal Be'ery lanzan una herramienta diseñada para ayudar a los administradores de sistemas proteger las redes empresariales de los ataques de reconocimiento
El nombre de la herramienta es SAMRi10 (pronunciado Samaritano) y está diseñado para proteger los equipos de Windows contra SAMR (Administrador de cuentas de seguridad remota) las consultas, los cuales permiten a los atacantes obtener una lista de los usuarios locales y de dominio, pertenencia a grupos, alias y más.
Un atacante que tiene un punto de apoyo en el interior de una empresa puede poner esta información en conjunto y crear un mapa virtual de la red de una empresa que puede ayudarle a identificar y seleccionar los ordenadores o servidores que contienen información más sensible.
Para obtener una mejor comprensión de lo que la herramienta puede hacer y proteger. Primero tenemos que entender lo que son SAM y SAMR.
SAM, o el administrador de cuentas de seguridad de Windows, es una base de datos que contiene información sobre todas las cuentas de usuario. SAMR es el acto de consultar una base de datos SAM remoto.
Cada ordenador Windows es compatible con SAM. Equipos asignados a un dominio de red, almacenan información acerca de sus cuentas en la base de datos SAM del dominio. A continuación, utilizan SAMR para realizar consultas remotas en la base de datos SAM y obtener información sobre sus usuarios, o los usuarios de otros ordenadores / servidores.
Si el equipo no forma parte de un dominio de red, el ordenador almacena información sobre todas las cuentas locales en una base de datos local SAM. Estos equipos no necesitan SAMRi10, ya que el atacante está generalmente contenida sólo en el equipo infectado.
SAMRi10 viene muy bien para proteger los equipos conectados en red conectados a través de los dominios de Windows. Ademas es un script de PowerShell que los administradores de sistemas pueden hacer funcionar en los ordenadores de su red.
La herramienta, que debe ser ejecutada con privilegios administrativos, es para Windows 10 y Windows Server 2016 solamente. SAMRi10 automatiza una serie de operaciones y limita la posibilidad de realizar consultas SAMR para obtener información sobre los usuarios en el mismo dominio.
SAMRi10 hace esto mediante la edición de un valor clave de registro que controla el acceso remoto a bases de datos SAM. La clave de registro se introdujo en Windows 10 y no se encuentra en las versiones anteriores de Windows. La clave de registro SAMRi10 es: HKLM/System/CurrentControlSet/Control/Lsa/RestrictRemoteSAM
SAMRi10 también permite a los administradores de sistemas filtrar quién puede realizar consultas remotas. La herramienta puede permitir a los miembros del grupo Administradores consultar la base de datos SAM en remoto.
Los administradores de sistemas también pueden utilizar la herramienta para crear un nuevo grupo personalizado denominado "Usuarios SAM remotos". Que permitirá a usuarios de confianza asignados a este grupo para realizar consultas SAMR, incluso si no son los administradores de dominio.
A continuación se presentan las capturas de intentos exitosos y no exitosos para consultar una base de datos SAM remota desde equipos protegidos a través de SAMRi10.
