Todas las versiones de los clientes de Windows, desde Windows 7 hasta las versiones actuales de Windows 11, contienen una vulnerabilidad de día 0 que podría permitir a los atacantes capturar hashes de autenticación NTLM de los usuarios en los sistemas afectados.
Los investigadores de ACROS Security informaron la falla a Microsoft esta semana. Descubrieron el problema mientras escribían un parche para sistemas Windows más antiguos para CVE-2024-38030una vulnerabilidad de suplantación de temas de Windows de gravedad media que Microsoft ha mitigado en su Actualización de seguridad de julio.
Variante de dos vulnerabilidades anteriores
La vulnerabilidad que ACROS descubierto es muy similar a CVE-2024-38030 y permite lo que se conoce como un ataque de coerción de autenticación, en el que un dispositivo vulnerable es esencialmente obligado a enviar hashes NTLM (la representación criptográfica de la contraseña de un usuario) en el sistema de un atacante. Tomer Peled, investigador de Akamai descubierto CVE-2024-38030 al escanear el parche de Microsoft en busca de CVE-2024-21320otra vulnerabilidad anterior de suplantación de temas de Windows el descubrio e informado a Microsoft. La falla descubierta por ACROS es una vulnerabilidad nueva e independiente relacionada con las dos fallas previamente reportadas por Peled.
Los archivos de temas de Windows permiten a los usuarios personalizar la apariencia de la interfaz de su escritorio de Windows mediante fondos de pantalla, protectores de pantalla, colores y sonidos. Las dos vulnerabilidades descubiertas por el investigador de Akamai, Peled, estaban relacionadas con la forma en que los temas manejaban las rutas de archivos a algunos activos de imágenes, específicamente “BrandImage” o “Wallpaper”. Peled descubrió que debido a una validación incorrecta, un atacante podría manipular la ruta legítima a estos recursos para que Windows envíe automáticamente una solicitud autenticada, junto con el hash NTLM del usuario, al dispositivo del usuario que lo ataca.
Como Peled explica a Dark Reading: “El formato del archivo del tema es un archivo .ini, con múltiples pares “clave-valor”. Inicialmente encontré dos pares clave-valor que podían aceptar rutas de archivos”, afirma.
La vulnerabilidad original (CVE-2024-21320) surgió del hecho de que los pares clave-valor aceptaban rutas UNC (un formato estandarizado para identificar recursos de red como archivos y carpetas compartidos) para unidades de red, señala Peled. “Este [meant] que un archivo de tema armado, con una ruta UNC, podría desencadenar una conexión saliente con autenticación de usuario, sin su conocimiento. Microsoft solucionó el problema agregando una verificación en la ruta del archivo para asegurarse de que no fuera una ruta UNC. Pero, dijo Peled, la función que Microsoft usó para esta validación permitió algunas soluciones, lo que llevó a Peled a descubrir la segunda vulnerabilidad (CVE). -2024-38030).
Microsoft actuará “según sea necesario”
Lo que ACROS Security informó esta semana es la tercera vulnerabilidad de suplantación de tema de Windows basada en el mismo problema de ruta de archivo. “Nuestros investigadores descubrieron la vulnerabilidad a principios de octubre mientras escribían un parche para CVE-2024-38030 dirigido a sistemas Windows existentes que muchos de nuestros usuarios todavía utilizan”, explica Mitja Kolsek, director ejecutivo de ACROS Security. “Hemos informado de este problema a Microsoft [on] 28 de octubre de 2024, pero no hemos publicado detalles ni una prueba de concepto, lo cual planeamos hacer después de que Microsoft lance su propio parche.
Un portavoz de Microsoft dijo por correo electrónico que la compañía está al tanto del informe ACROS y “tomará las medidas necesarias para garantizar que los clientes estén protegidos”. La empresa aún no parece haber emitido un CVE, o identificador de vulnerabilidad, para el nuevo problema.
Al igual que las dos vulnerabilidades de suplantación de temas de Windows anteriores descubiertas por Akamai, el nuevo descubrimiento de ACROS tampoco requiere privilegios especiales por parte de un atacante. “Pero de alguna manera deben lograr que el usuario copie un archivo de tema en otra carpeta de su computadora y luego abra esa carpeta con el Explorador de Windows usando una vista que restaure los íconos”, explica Kolsek. “El archivo también se puede descargar automáticamente a su carpeta de Descargas al visitar [an] sitio web del atacante, en cuyo caso el atacante tendría que esperar a que el usuario vea la carpeta de Descargas más tarde.
Kolsek recomienda que las organizaciones desactiven NTLM cuando sea posible, pero reconoce que esto podría causar problemas funcionales si los componentes de la red dependen de él. “[An] “El atacante sólo puede atacar con éxito una computadora que tenga NTLM habilitado”, dice. “Otro requisito es que una solicitud iniciada por un archivo temático malicioso pueda llegar al servidor del atacante en Internet o en una red adyacente”, que los cortafuegos generalmente deberían bloquear, afirma. Como resultado, es más probable que un atacante intente explotar la falla en una campaña dirigida en lugar de hacerlo en masa.
Peled de Akamai dice que es difícil saber cuál es la vulnerabilidad ACROS sin acceso a los detalles técnicos. “Pero podría ser otra omisión UNC que omite la verificación, o un par clave-valor diferente que se omitió en el parche original”, dice. “Los formatos de ruta UNC son muy complejos y permiten combinaciones extrañas, lo que los hace muy difíciles de detectar. Quizás por eso es tan complejo de arreglar”.