Tel: (601)7425944
Bittin

Linkedin

Todos los derechos reservados BITTIN 2015
Tel. (601) 7425944 - (+57) 305 7309799 – Dirección: Cr 7 # 29-34 Bogotá Colombia

Robo de credenciales mediante vulnerabilidad en SMB de Windows

La vulnerabilidad se ha convertido en un término conocido en la era digital, debido a las inseguridades que se están presentando en los diferentes sistemas operativos, redes, computadores, celulares y cualquier actividad que se realice en el ciberespacio. En esta ocasión un grupo de expertos presentaron la nueva vulnerabilidad en el protocolo de Microsoft, la cual puede estar ocasionando robo de credenciales a los usuarios.

En la Conferencia Black Hat, un equipo de expertos liderado por Jonathan Brossard, presentaron una vulnerabilidad en el protocolo SMB de Microsoft utilizado para compartir archivos en redes locales. La vulnerabilidad afecta a todas las versiones de Windows, incluyendo Windows 10 y puede ser explotada a través de Internet, algo que los investigadores creían imposible.

SMB es un protocolo de 21 años de edad creado por IBM, que permite compartir archivos e impresoras en una red. Desde su creación, ha evolucionado y llegado a la versión 3.0, que se suministra ahora en la mayoría del Windows. La mayoría de las veces este protocolo se utiliza en redes empresariales, junto al algoritmo de autenticación NTLMv2, que permite a los usuarios autentificarse rápidamente en servidores Windows.

La vulnerabilidad descubierta por el equipo de Brossard permite extraer las credenciales de usuario desde un dominio de Windows cerrado, utilizando una técnica de ataque llamada SMB Relay, básicamente un MitM para datos SMB. Mientras esta técnica generalmente trabajaba sólo en LAN, debido a que la mayoría de redes empresariales se han ampliado para incluir infraestructuras cloud, el ataque puede realizarse a través de conexiones a Internet.

La fuga de credenciales sucede cuando un usuario está tratando de leer un correo electrónico, acceder a una página Web utilizando el navegador o haciendo cualquier cosa que implique abrir una dirección URL.

La vulnerabilidad se encuentra en una DLL específica que permite a un atacante realizar un ataque de retransmisión SMB, obtener las credenciales del usuario, romper el hash de la contraseña y luego utilizarlas para robar información de la red pasando como un usuario normal.

Como señala Brossard, todas las versiones de IE son vulnerables, incluyendo el nuevo navegador Edge, siendo este «el primer ataque contra Windows 10 y su navegador Spartan«.

Además, otras aplicaciones vulnerables incluyen Windows Media Player, Adobe Reader, Apple QuickTime, Excel 2010, Symantec Norton Security Scan, AVG Free, BitDefender Free Comodo Antivirus, IntelliJ IDEA, Box Sync, GitHub, TeamViewer, Dropbox y muchas otras aplicaciones.

La investigación también incluye técnicas de mitigación, pero según Brossard, el más eficiente sería definir configuraciones de Firewall personalizados, para prevenir fugas de datos a través de SMB.

Diferentes descubrimientos de “robos” de identidad, de credenciales y de usuarios se han presentado en los últimos meses a través de aplicaciones y tecnología que llega día a día a nuestra sociedad, lo que hace necesario que cada uno de los usuarios de la red esté al tanto en recomendaciones y seguridad de cada una de sus cuentas.

Que no sea usted la victima de los cibercriminales, recuerde dudar de cada uno de los links o promociones que pueden llegar a sus equipos.

FUENTE Y MÁS INFORMACIÓN: Segu-Info Noticias Sobre Seguridad de la Información