Esta vulnerabilidad surge porque el Explorador de Windows confía
implícitamente en los archivos .library-ms y procesa
automáticamente ciertos tipos de archivos inmediatamente después de su
extracción. Un atacante podría aprovechar esta confianza implícita y el
comportamiento de procesamiento automático de archivos para filtrar
credenciales, que luego pueden utilizarse para ataques de Pass-the-Hash o para
descifrar hash NTLM sin conexión.
Cuando un archivo .library-ms especialmente diseñado que contiene una
ruta SMB se comprime dentro de un archivo RAR/ZIP y posteriormente se extrae,
el Explorador de Windows analiza automáticamente su contenido gracias a su
mecanismo integrado de indexación y vista previa.
Este comportamiento se debe a que el Explorador de Windows procesa
automáticamente ciertos tipos de archivo tras la extracción para generar
vistas previas, miniaturas o metadatos de índice, incluso si el usuario nunca
abre ni hace clic en el archivo explícitamente.
El formato de archivo .library-ms se basa en XML y el Explorador de
Windows lo utiliza para definir las ubicaciones de búsqueda y de bibliotecas.
Tras la extracción, el servicio de indexación y el mecanismo de análisis de
archivos integrado de Explorer analizan inmediatamente el contenido del
archivo .library-ms para mostrar los iconos, miniaturas o metadatos
correspondientes.
Si el archivo proporcionado es manipulado y contiene una etiqueta
<simpleLocation> que apunta directamente a un servidor SMB
controlado por el atacante, Explorador de Windows intenta resolver
automáticamente esta ruta SMB (por ejemplo, \\192.168.1.116) para
recopilar metadatos e información del archivo de índice. Esta acción activa un
protocolo de enlace de autenticación NTLM implícito desde el sistema de la
víctima al servidor SMB controlado por el atacante. En consecuencia,
el hash NTLMv2 de la víctima se envía sin interacción explícita del
usuario.
Explotación activa
Esta vulnerabilidad se está explotando activamente y ya se ha puesto a la
venta en el foro xss.is por el actor de amenazas conocido como
«Krypt0n». Este actor de amenazas también es el desarrollador del
malware denominado «EncryptHub Stealer» (https://x.com/naumovax/status/1900574511797239900).
El analista
0x6rss ha creado un exploit y un
demostración de la explotación. Microsoft ya solucionó esta vulnerabilidad en el martes de parches de
marzo, por lo que se recomienda actualizar a la brevedad.
Fuente: 0x6rss