0patch: críticas a Microsoft por no solucionar un problema de seguridad

Dos investigadores italianos, Antonio Cocomazzi (laboratorios centinela) y Andrea Pierini, hace meses descubrieron una vulnerabilidad de seguridad en Windows y en particular en el conjunto de protocolos de autenticación de Microsoft NTLM.

En el análisis publicado en esta página se explica que usar un ataque relé NTLM un atacante puede adquirir mayores privilegios y cambiar de usuario normal a administrador de dominio.

retransmisión NTLM es una técnica ampliamente conocida de la que los atacantes y los ciberdelincuentes han abusado a lo largo del tiempo para atacar sistemas Windows.

NTLM (Administrador de LAN de NT) es un conjunto de protocolos de seguridad de Microsoft utilizados para autenticar a los usuarios: hay dos versiones e incluso la más reciente (por así decirlo porque su introducción se remonta al lanzamiento de Windows NT 4.0 SP4) no ofrece un nivel de seguridad comparable al ejemplo a Kerberos.

En redes que deben ofrecer altos estándares de seguridad, no es recomendable utilizar NTLM o es mejor prevenir por completo su uso.

Hemos visto repetidamente en el pasado que las contraseñas de los usuarios ni siquiera son difíciles de reconstruir a partir de hashes NTLMv2, tanto que los ciberdelincuentes comienzan fuerza bruta para averiguar las credenciales de otros.

Normalmente, para robar las credenciales de otros y hacerse pasar por otro usuario, se requiere la intervención activa de la víctima en las configuraciones que usan NTLM.

Sin embargo, Cocomazzi y Pierini han descubierto que es posible adquirir mayores privilegios explotando algunos servicios del sistema sin, por lo tanto, involucrar directamente a la víctima.

Los investigadores demostraron cómo, al explotar precisamente la implementación imperfecta de NTLM, un usuario con privilegios limitados puede ejecutar código arbitrario dentro de la sesión de trabajo de otro usuario. El hash NTLM del usuario también se puede transmitir automáticamente a una dirección IP de un host administrado por el atacante.

Para que el problema de seguridad sea explotado, es necesario que algún usuario con mayores privilegios esté conectado a la misma computadora con Windows al mismo tiempo que ocurre el ataque. Esta es obviamente una situación poco común en estaciones de trabajo individuales (a menos que use el Cambiar usuario) pero muy común en el entorno del servidor. En este segundo caso, cualquier usuario conectado remotamente podría atacar a cualquier otro usuario conectado a la misma máquina sin utilizar técnicas de ingeniería social y sin que la víctima tenga que hacer nada.

Microsoft ha decidido no solucionar este problema porque según la empresa de Redmond, los ataques de retransmisión NTLM deben evitarse mediante la configuración de NTLM o dejando de utilizar esta herramienta de comunicación. La cosa es que usando NTLM en el entorno empresarial sigue siendo una realidad incluso hoy.

los autores de 0 parcheuna solución que permite aplicar actualizaciones de seguridad en sistemas Windows en en memoria Luego, usando parches que se cargan en la memoria y ni siquiera necesitan reiniciar el sistema, criticaron la posición de Microsoft: "porque Windows permite que un usuario con pocos privilegios inicie cualquier cosa en una sesión que no sea la suya? ", se lee en una nota publicada recientemente".Desafortunadamente, no hemos podido encontrar la respuesta ni siquiera hacer suposiciones. Sin embargo, tal comportamiento inmediatamente parece sospechoso para cualquier investigador de seguridad y no sorprende que alguien haya decidido investigar."identificar una vulnerabilidad que pueda ser explotada en la práctica.

Así que, ante las declaraciones de Microsoft de que prefería no solucionar la brecha de seguridad, los desarrolladores de 0patch quisieron hacerlo por su cuenta y con las últimas actualizaciones de la aplicación, también se ha corregido la falla descubierta por Cocomazzi y Pierini.

El resultado es visible en este video: cuando 0patch no se está ejecutando, el código de explotación funciona; de lo contrario, el intento de ataque se bloquea inmediatamente.

En otro artículo vimos cómo aplicar actualizaciones de Windows sin reiniciar el sistema con 0patch.