Se ha descubierto una nueva vulnerabilidad Zero-Day que permite a los
atacantes capturar credenciales NTLM simplemente engañando al objetivo para que
vea un archivo malicioso en el Explorador de Windows.
El equipo de 0patch, una plataforma que proporciona soporte no oficial para
versiones de Windows que han llegado al final de su vida útil, descubrió la
falla y se informó a Microsoft. Sin embargo, todavía no se ha publicado
ninguna solución oficial mientras se investiga el problema.
Según 0patch, el problema, que actualmente no tiene un identificador CVE,
afecta a todas las versiones de Windows desde Windows 7 y Server 2008 R2 hasta
las últimas versiones de Windows 11 24H2 y Server 2022.
Exploit Zero-Click
0patch ha ocultado los detalles técnicos de la vulnerabilidad hasta que
Microsoft proporcione una solución oficial para evitar que se fomente la
explotación activa en la naturaleza.
Los
investigadores explicaron
que el ataque funciona simplemente viendo un archivo malicioso especialmente
diseñado en el Explorador de archivos, por lo que no es necesario abrir el
archivo.
«La vulnerabilidad permite a un atacante obtener las credenciales NTLM del
usuario simplemente haciendo que el usuario vea un archivo malicioso en el
Explorador de Windows, por ejemplo, abriendo una carpeta compartida o un
disco USB con dicho archivo, o viendo la carpeta Descargas donde previamente
se descargó automáticamente dicho archivo desde la página web del
atacante».
Si bien 0Patch no comparte más detalles sobre la vulnerabilidad, se entiende
que fuerza una conexión NTLM saliente a un recurso compartido remoto. Esto
hace que Windows envíe automáticamente hashes NTLM para el usuario conectado,
que el atacante puede robar.
Como
se ha demostrado repetidamente, estos hashes se pueden descifrar, lo que permite a los actores de amenazas
obtener acceso a los nombres de inicio de sesión y las contraseñas de texto
sin formato. Microsoft anunció hace un año sus
planes de eliminar el protocolo de autenticación NTLM
en Windows 11 en el futuro.
0patch señala que esta es la tercera vulnerabilidad de día cero que informaron
recientemente a Microsoft y que el proveedor no ha tomado medidas inmediatas
para abordar.
Los otros dos son la omisión de
Mark of the Web (MotW) en Windows Server 2012, que se dio a conocer a fines del mes pasado, y una
vulnerabilidad de Windows Themes
que permite el robo remoto de credenciales NTLM, divulgada a fines de octubre.
Ambos problemas siguen sin solucionarse.
0patch dice que otras fallas de divulgación de hash NTLM divulgadas en el
pasado, como
PetitPotam,
PrinterBug/SpoolSample
y
DFSCoerce, siguen sin una solución oficial en las últimas versiones de Windows.
Microparche gratuito disponible
0patch ofrece un microparche gratuito para el último día cero de NTLM a todos
los usuarios registrados en su plataforma hasta que Microsoft proporcione una
solución oficial. Para recibir este parche no oficial, cree una cuenta
gratuita en
0patch Central, inicie una prueba gratuita y luego instale el agente y permita que aplique
los microparches apropiados automáticamente. No es necesario reiniciar.
Las cuentas PRO y Enterprise ya han recibido el microparche de seguridad
automáticamente a menos que su configuración lo impida explícitamente.
Los usuarios que no quieran aplicar el parche no oficial proporcionado por
0patch pueden considerar desactivar la autenticación NTLM con una
Política de grupo en ‘Configuración de seguridad > Políticas locales >
Opciones de seguridad’ y configurar las políticas «Seguridad de red:
Restringir NTLM». Lo mismo se puede lograr mediante modificaciones del
registro.
Fuente:
BC