Freym PC Blog
Vulnerabilidad en el Explorador de Windows
Descripción de la vulnerabilidad:
La vulnerabilidad surge porque el Explorador de Windows confía implícitamente en los archivos .library-ms y procesa automáticamente ciertos tipos de archivos inmediatamente después de su extracción.
Un atacante podría aprovechar esta confianza implícita y el comportamiento de procesamiento automático de archivos para filtrar credenciales. Esto se logra creando un archivo .library-ms especialmente diseñado que contiene una ruta SMB, comprimiéndolo dentro de un archivo RAR/ZIP y luego haciendo que la víctima lo extraiga.
Posibilidad de explotación:
Ataques de filtrado de credenciales:
• La vulnerabilidad permite a los atacantes filtrar credenciales NTLM mediante la creación de archivos .library-ms maliciosos que contienen rutas SMB.
• Cuando una víctima extrae un archivo comprimido que contiene este archivo .library-ms, Windows intenta acceder a la ruta SMB especificada, lo que puede resultar en la fuga de credenciales.
Ataques de Pass-the-Hash:
• Las credenciales filtradas pueden utilizarse para ataques de Pass-the-Hash, lo que permite a los atacantes moverse lateralmente dentro de una red.
Descifrado de hash NTLM:
• Los hash NTLM capturados también pueden ser descifrados sin conexión, lo que permite a los atacantes obtener las contraseñas en texto plano.
Pruebas de concepto (PoC):
• Se han desarrollado PoC que demuestran la viabilidad de estos ataques. Estas PoC suelen implicar la creación de archivos .library-ms maliciosos y la configuración de servidores SMB para capturar las credenciales.
• Estas pruebas demuestran que es posible explotar la confianza implícita de Windows en los archivos .library-ms para realizar ataques de filtrado de credenciales.
Consideraciones importantes:
• Es crucial mantener los sistemas Windows actualizados con los últimos parches de seguridad para mitigar el riesgo de explotación.
• Se recomienda tener precaución al abrir archivos comprimidos de fuentes no confiables.
• Las vulnerabilidades que involucran el protocolo SMB son de alto riesgo, ya que pueden permitir la propagación de malware dentro de las redes.