Windows, autenticazione compromessa senza mani

Scovato un "misterioso" bug nel modo in cui gli OS di Microsoft gestiscono le password di accesso alle cartelle condivise, un problema che continua a far discutere anche dopo la pubblicazione della patch (non obbligatoria)
Scovato un "misterioso" bug nel modo in cui gli OS di Microsoft gestiscono le password di accesso alle cartelle condivise, un problema che continua a far discutere anche dopo la pubblicazione della patch (non obbligatoria)

L’ultimo martedì di Patch di Microsoft include l’ avviso di sicurezza ADV170014 , una patch correttiva che a Redmond hanno definito come “un miglioramento di sicurezza opzionale” per la tecnologia NT LAN Manager (NTLM). In realtà il problema di fondo non è affatto risolto e i rischi connessi al baco sono tutto fuorché “opzionali”.

Tutto è cominciato qualche mese fa, quando il ricercatore colombiano Juan Diego ha avvisato Microsoft della possibilità di rubare gli hash delle password NTLM senza alcun interazione da parte dell’utente . Gli hash possono poi essere inviati a un server remoto e crackati con la conseguente, potenziale violazione della rete locale sotto attacco .

La parte “misteriosa” del bug? Diego ha trovato il modo di abusare di un file SCF (Shell Command File) per condurre l’attacco: basta infatti copiare un suddetto file SCF malevolo in una cartella condivisa sulla LAN locale senza password, e i comandi al suo interno vengono eseguiti immediatamente con la violazione delle password NTLM di cui sopra.

Diego ha avvisato Microsoft dell’esistenza del bug il 24 maggio scorso, e Microsoft ha rilasciato una patch – per giunta “opzionale” e disponibile solo per Windows 10/Server 2016 – il 18 ottobre, ben 148 giorni dopo. Quel che è peggio è che la patch non elimina la radice del problema – cioè l’avvio immediato di un file script SCF che in genere andrebbe eseguito manualmente – ma si limita a bloccare il trasferimento degli hash delle password sui server remoti.

In effetti il motivo per cui il file SCF venga eseguito automaticamente continua a rappresentare un’incognita, e al momento il ricercatore sudamericano dice di essere al lavoro su un secondo tentativo di exploit di una falla probabilmente vecchia quasi quanto Windows.

Link copiato negli appunti

Ti potrebbe interessare

31 10 2017
Link copiato negli appunti