22 mar. 2017

Robo de sesión de usuarios a través del Administrador de Tareas de Windows (¿o no?)

¿Se puede robar a una sesión de usuario de Windows usando sólo el Administrador de Tareas y/o el CMD? Parece que sí. Eso es lo que ha redescubierto el investigador en seguridad Alexander Korznikov y ha despertado todo tipo de discusiones.

El método tiene varias limitaciones.
  1. Se requiere privilegios de administración sobre el sistema.
  2. La cuenta a secuestrar debe haber iniciado sesión.
  3. La cuenta a secuestrar no debería haber cerrado su sesión (solo la ha bloqueado)
  4. Se requiere acceso físico al PC en el que se encuentra la cuenta objetivo, (parece) que no se puede realizar de forma remota.
Que utilicemos la palabra "redescubierto" no es casual. El "truco" es posible gracias a un bug que ya tiene seis años de antigüedad pero que, al parecer, Microsoft todavía no ha solucionado. Se puede ver el error en funcionamiento en el siguiente vídeo (via Task Manager, via CMD, via servicio)

Según se puede observar en el vídeo, para poder explotar el bug hay que acceder al sistema con una cuenta cualquiera que tenga privilegios de administración. Antes de eso, la cuenta objetivo debe haber iniciado sesión en el sistema y estar operativa. Además, el usuario debe haber usado "Cambiar usuario" o "Bloquear" en lugar de "Cerrar sesión" para abandonar el PC.

En este caso no es necesario usar ningún tipo de malware, ni tener conocimientos avanzados de cualquiera de las materias que citamos al principio del artículo. Es decir, cualquiera con conocimientos básicos de informática podría aprovecharse del bug si sabe cómo.

Este "bug o funcionalidad" está presente en todas las versiones a partir de Windows 7 y hasta Windows 2016.

Actualización: existe una gran discusión de si este hallazgo corresponde realmente a un bug o al diseño de Windows, el cual que sería menospreciado por ser necesario acceso local al sistema. Por eso, Kevin Beaumont realizó una PoC y demostró cómo se puede utilizar este "truco" para lograr un RDP session hijacking, dando lugar a que efectivamente este sería un vector real de ataque.

Hasta ahora existen estas formas de llevar a cabo el ataque y seguramente irán apareciendo más con el pasar de los días:
Fuente: Genbeta | Alexander Korznikov | Kevin Beaumont

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!