Se ha descubierto una nueva vulnerabilidad Zero-Day que permite a los atacantes capturar credenciales NTLM simplemente engañando al objetivo para que vea un archivo malicioso en el Explorador de Windows.
El equipo de 0patch, una plataforma que proporciona soporte no oficial para versiones de Windows que han llegado al final de su vida útil, descubrió la falla y se informó a Microsoft. Sin embargo, todavía no se ha publicado ninguna solución oficial mientras se investiga el problema.
Según 0patch, el problema, que actualmente no tiene un identificador CVE, afecta a todas las versiones de Windows desde Windows 7 y Server 2008 R2 hasta las últimas versiones de Windows 11 24H2 y Server 2022.
Exploit Zero-Click
0patch ha ocultado los detalles técnicos de la vulnerabilidad hasta que Microsoft proporcione una solución oficial para evitar que se fomente la explotación activa en la naturaleza.
Los investigadores explicaron que el ataque funciona simplemente viendo un archivo malicioso especialmente diseñado en el Explorador de archivos, por lo que no es necesario abrir el archivo. “La vulnerabilidad permite a un atacante obtener las credenciales NTLM del usuario simplemente haciendo que el usuario vea un archivo malicioso en el Explorador de Windows, por ejemplo, abriendo una carpeta compartida o un disco USB con dicho archivo, o viendo la carpeta Descargas donde previamente se descargó automáticamente dicho archivo desde la página web del atacante”.
Si bien 0Patch no comparte más detalles sobre la vulnerabilidad, se entiende que fuerza una conexión NTLM saliente a un recurso compartido remoto. Esto hace que Windows envíe automáticamente hashes NTLM para el usuario conectado, que el atacante puede robar.
Como se ha demostrado repetidamente, estos hashes se pueden descifrar, lo que permite a los actores de amenazas obtener acceso a los nombres de inicio de sesión y las contraseñas de texto sin formato. Microsoft anunció hace un año sus planes de eliminar el protocolo de autenticación NTLM en Windows 11 en el futuro.
0patch señala que esta es la tercera vulnerabilidad de día cero que informaron recientemente a Microsoft y que el proveedor no ha tomado medidas inmediatas para abordar.
Los otros dos son la omisión de Mark of the Web (MotW) en Windows Server 2012, que se dio a conocer a fines del mes pasado, y una vulnerabilidad de Windows Themes que permite el robo remoto de credenciales NTLM, divulgada a fines de octubre. Ambos problemas siguen sin solucionarse.
0patch dice que otras fallas de divulgación de hash NTLM divulgadas en el pasado, como PetitPotam, PrinterBug/SpoolSample y DFSCoerce, siguen sin una solución oficial en las últimas versiones de Windows.
Microparche gratuito disponible
0patch ofrece un microparche gratuito para el último día cero de NTLM a todos los usuarios registrados en su plataforma hasta que Microsoft proporcione una solución oficial. Para recibir este parche no oficial, cree una cuenta gratuita en 0patch Central, inicie una prueba gratuita y luego instale el agente y permita que aplique los microparches apropiados automáticamente. No es necesario reiniciar.
Las cuentas PRO y Enterprise ya han recibido el microparche de seguridad automáticamente a menos que su configuración lo impida explícitamente.
Los usuarios que no quieran aplicar el parche no oficial proporcionado por 0patch pueden considerar desactivar la autenticación NTLM con una Política de grupo en ‘Configuración de seguridad > Políticas locales > Opciones de seguridad’ y configurar las políticas “Seguridad de red: Restringir NTLM”. Lo mismo se puede lograr mediante modificaciones del registro.
Fuente: BC
