Recientemente, expertos de seguridad han detectado una
nueva técnica de ataque aprovechando un fallo en la forma con la que Microsoft
gestiona la autenticación de los recursos compartidos, una forma obsoleta y que
puede permitir a un atacante engañar al sistema operativo para que envíe
información confidencial sobre los usuarios a su propia red, incluso a través
de Internet.
Para explotar este fallo, lo único que se debe hacer es incrustar un enlace a un recurso SMB dentro de una web o un correo electrónico. Al intentar acceder a dicho recurso desde Internet Explorer, Edge u Outlook, debido a la forma en que Windows maneja las credenciales de autenticación para los recursos compartidos de una red, la víctima enviará automáticamente los datos de inicio de sesión del dominio a la propia red del atacante, incluso a través de Internet.
Mientras que los usuarios de Windows 7 y versiones
anteriores se autenticaban a los recursos de la red con cuentas locales y no
tenían necesidad de vincular ninguna cuenta de Microsoft a su sistema
operativo, a partir de Windows 8 este fallo se agrava considerablemente, ya que
un atacante puede hacerse con el control completo de nuestra cuenta de
Microsoft, incluido el acceso a Skype, Xbox Live, Office 365, OneDrive y Azure,
entre otros servicios. Además, según los expertos, si nos conectamos a un
recurso SMB desde una VPN, el atacante puede también hacerse con el control de
dicha cuenta, algo bastante más peligroso.
La contraseña de la cuenta de Microsoft no se envía en texto plano, sino que se envía como un hash NTLM, algo que hace tiempo que ha demostrado ser inseguro. Además, no es la primera vez que Windows queda en evidencia por utilizar este sistema de autenticación para recursos compartidos, ya que se lleva hablando de ello desde 1997, incluso se han realizado varias demostraciones en pasadas conferencias Black Hat.
Cómo protegernos de este fallo de
Windows
- A medida que han pasado los años, Microsoft ha ido solucionando otras vulnerabilidades antiguas de manera que no comprometieran a los usuarios, sin embargo, la gestión de credenciales del protocolo SMB no ha sido una de ellas.
- Si queremos evitar que un atacante pueda hacerse con nuestros datos mediante ingeniería social, lo recomendable es bloquear todas las conexiones salientes el puerto utilizado por SMB (445) en nuestro router o firewall. Además, como medida de seguridad adicional, debemos desvincular nuestra cuenta de Microsoft del inicio de sesión de Windows y utilizar una cuenta local para ello, evitando así que, en caso de robo de los credenciales, se comprometa toda nuestra cuenta de Microsoft.
Fuente: habrahabr
