Windows, autenticazione compromessa senza mani

Scovato un "misterioso" bug nel modo in cui gli OS di Microsoft gestiscono le password di accesso alle cartelle condivise, un problema che continua a far discutere anche dopo la pubblicazione della patch (non obbligatoria)

Roma – L’ultimo martedì di Patch di Microsoft include l’ avviso di sicurezza ADV170014 , una patch correttiva che a Redmond hanno definito come “un miglioramento di sicurezza opzionale” per la tecnologia NT LAN Manager (NTLM). In realtà il problema di fondo non è affatto risolto e i rischi connessi al baco sono tutto fuorché “opzionali”.

Tutto è cominciato qualche mese fa, quando il ricercatore colombiano Juan Diego ha avvisato Microsoft della possibilità di rubare gli hash delle password NTLM senza alcun interazione da parte dell’utente . Gli hash possono poi essere inviati a un server remoto e crackati con la conseguente, potenziale violazione della rete locale sotto attacco .

La parte “misteriosa” del bug? Diego ha trovato il modo di abusare di un file SCF (Shell Command File) per condurre l’attacco: basta infatti copiare un suddetto file SCF malevolo in una cartella condivisa sulla LAN locale senza password, e i comandi al suo interno vengono eseguiti immediatamente con la violazione delle password NTLM di cui sopra.

Diego ha avvisato Microsoft dell’esistenza del bug il 24 maggio scorso, e Microsoft ha rilasciato una patch – per giunta “opzionale” e disponibile solo per Windows 10/Server 2016 – il 18 ottobre, ben 148 giorni dopo. Quel che è peggio è che la patch non elimina la radice del problema – cioè l’avvio immediato di un file script SCF che in genere andrebbe eseguito manualmente – ma si limita a bloccare il trasferimento degli hash delle password sui server remoti.

In effetti il motivo per cui il file SCF venga eseguito automaticamente continua a rappresentare un’incognita, e al momento il ricercatore sudamericano dice di essere al lavoro su un secondo tentativo di exploit di una falla probabilmente vecchia quasi quanto Windows.

Alfonso Maruccia

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • xte scrive:
    Mah
    posto che NON uso Windows e per quanto mi è possibile non uso software proprietario vorrei citare una cosa che mi insegnò un vecchio sysadmin: "recupero dati? Serve se vuoi spiare qualcuno, scoprire qualcosa su una chiavetta trovata in strada, sull'hd di una stampante. Se vuoi lavorare serve il backup." la frase più o meno è questa.La mia domanda è: ma quante facciate/cetrioli deve prendere il luser medio per imparare la lezione?
    • ... scrive:
      Re: Mah
      Luser medio? Hai presente quante sono le aziende gestite da rinXXXXXXXXti che pensano che fare regolarmente dei backup sia una perdita di tempo? Magari queste cose le facesse solo il "luser medio".
      • xte scrive:
        Re: Mah
        Yep, ne ho visto qualcuna, anche non piccola, anche per backup di dati di importanza "amministrativa/fiscale" su NAS desktop con un po' di dischi Maxtor, ma sempre luser sono :-)
        • bubba scrive:
          Re: Mah
          - Scritto da: xte
          Yep, ne ho visto qualcuna, anche non piccola,
          anche per backup di dati di importanza
          "amministrativa/fiscale" su NAS desktop con un
          po' di dischi Maxtor, ma sempre luser sono
          :-)in realta' c'e' di meglio che "non fare i backup", ossia "farli, ma non controllare mai che il restore funzioni". Mi era capitato in un azienda che "rigorosamente" backuppava su DAT, che poi al momento del bisogno non andavano un XXXXX (ossia il backup non backuppava quel che serviva, i nastri non venivano controllati e si backuppava a ciclo su i medesimi)
  • zupermario scrive:
    Colpa dei bitcoin
    Come da oggetto
  • ... scrive:
    BadRabbit, tentativi di recupero dati
    [img]http://barkingdogfitness.com/wp-content/uploads/two-dogs-digging.jpg[/img]
  • bubba scrive:
    cioe adesso se SMBv1 e' exploitabile dai
    cioe adesso se SMBv1 e' risultato exploitabile dai tempi di XP, sarebbe colpa dell'NSA ? :) che, lo zio bill lavora a redmond o a fort meade? :)
Chiudi i commenti