Tienes alguna consulta? (+598) 2400 4378

infouy@sadvisor.com

7 noviembre 2017
 noviembre 7, 2017
Categoría Noticias

Los ataques informáticos cada vez son más frecuentes; en esta ocasión, la víctima resultó ser el modelo de autenticación NTLM de Microsoft el que tiene fallas en el diseño de su arquitectura, las que permiten el robo del ‘hash’ de la contraseña del usuario de la sesión.

Existen varias técnicas para ejecutar este tipo de ataques; la mayoría de ellas, requieren interceptar el tráfico y engañar al usuario con el fin de que ejecute alguna acción que permita robar el ‘hash’; la novedad de esta forma es que no requiere de la intercepción del tráfico y se puede explotar simplemente mediante técnicas de ingeniería social.

Esta vulnerabilidad existe en todas las versiones de Windows, y puede ser explotada por un atacante, de acuerdo a las siguientes condiciones.

Para que pueda ser explotada, el usuario debe tener una carpeta compartida en su sistema, a la que cualquier otro usuario de la red pueda acceder sin necesidad de contraseña. Normalmente, al compartir una carpeta, Windows requiere de una contraseña para poder acceder a ella, pero muchas veces por razones de practicidad y conveniencia, los usuarios desactivan esta característica. El acceso a una carpeta compartida, permitiría a un atacante introducir en ella un archivo de tipo SCF, el cual  se ejecutaría automáticamente cada vez que el explorador de Windows acceda a la carpeta en cuestión. Un archivo SCF debidamente creado, con los comandos adecuados, podría estar capturando el hash de la contraseña del usuario y enviándola a otro equipo remoto, en poder del atacante. La contraseña podría ser conseguida utilizando diversas herramientas, con lo que- el atacante-  pasaría a disponer de las credenciales completas del usuario en cuestión para acceder a la red.

Microsoft ha publicado parches para resolver  este problema, pero solo resultan efectivos en Windows10 y Server 2016; todas las demás versiones siguen siendo vulnerables. Aparentemente el problema radica en que los cambios del registro necesarios para solucionar esto, no son compatibles con el firewall de Windows de las versiones anteriores y, por lo tanto, no se puede implementar.

Ante este tipo de situación, Security Advisor recomienda:

Asegurarse de estar al día con las actualizaciones y parches en Windows 10 y Windows Server 2016. Respecto a las demás versiones, se debe garantizar que no se compartan carpetas sin exigir contraseñas.