18 ago. 2015

Vulnerabilidad en SMB en Windows permite robo de credenciales

En la Conferencia Black Hat, un equipo de expertos liderado por Jonathan Brossard presentaron una vulnerabilidad en el protocolo SMB de Microsoft [PDF] utilizado para compartir archivos en redes locales. La vulnerabilidad afecta a todas las versiones de Windows, incluyendo Windows 10 y puede ser explotada a través de Internet, algo que los investigadores creían imposible.

SMB es un protocolo de 21 años de edad creado por IBM, que permite compartir archivos e impresoras en una red. Desde su creación, ha evolucionado y llegado a la versión 3.0, que se suministra ahora en la mayoría de los Windows. La mayoría de las veces este protocolo se utiliza en redes empresariales, junto al algoritmo de autenticación NTLMv2, que permite a los usuarios autentificarse rápidamente en servidores Windows.

La vulnerabilidad descubierta por el equipo de Brossard permite extraer las credenciales de usuario desde un dominio de Windows cerrado, utilizando una técnica de ataque llamada SMB Relay, basicamente un MitM para datos SMB. Mientras esta técnica generalmente trabajaba sólo en LAN, debido a que la mayoría de redes empresariales se han ampliado para incluir infraestructuras cloud, el ataque puede realizarse a través de conexiones a Internet.

La fuga de credenciales sucede cuando un usuario está tratando de leer un correo electrónico, acceder a una página Web utilizando el navegador o haciendo cualquier cosa que implique abrir una dirección URL. La vulnerabilidad se encuentra en una DLL específica que permite a un atacante realizar un ataque de retransmisión SMB, obtener las credenciales del usuario, romper el hash de la contraseña y luego utilizarlas para robar información de la red pasando como un usuario normal.
Como señala Brossard, todas las versiones de IE son vulnerables, incluyendo el nuevo navegador Edge, siendo este "el primer ataque contra Windows 10 y su navegador Spartan".

Además, otras aplicaciones vulnerables incluyen Windows Media Player, Adobe Reader, Apple QuickTime, Excel 2010, Symantec Norton Security Scan, AVG Free, BitDefender Free Comodo Antivirus, IntelliJ IDEA, Box Sync, GitHub, TeamViewer, Dropbox y muchas otros aplicaciones.

La investigación también incluye técnicas de mitigación [PDF], pero según Brossard, el más eficiente sería definir configuraciones de Firewall personalizados, para prevenir fugas de datos a través de SMB.

Fuente: Softpedia

2 comentarios:

  1. Hay varias preguntas que se me ocurren respecto a esto:
    1) Que pasa con los otros navegadores? Habla solo de IE y otras aplicaciones en donde no se incluye, si con Firefox o Chrome sucede
    2) Que pasa si un usuario desactiva servicios de "compartir archivos e impresoras", y otros settings como "descubrir protocolos en forma automatica"
    3) Creo que hasta que salgan los respectivos parches, hay que navegar con un Desktop Linux

    ResponderEliminar
  2. Si por necesidades de la organización se requiere compartir impresoras, no es posible deshabilitarlas como puedes protegerte será hasta que salga un parche para su corrección, saludos

    ResponderEliminar

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!