Los expertos detallan una vulnerabilidad reciente de Windows explotable de forma remota

Los expertos detallan una vulnerabilidad reciente de Windows explotable de forma remota

Han surgido más detalles sobre una vulnerabilidad de omisión de características de seguridad en Windows NT LAN Manager (NTLM) que fue abordado por Microsoft como parte de su Actualizaciones de Patch Tuesday a principios de este mes.

La falla, rastreada como CVE-2021-1678 (Puntuación CVSS 4.3), se describió como una falla «explotable remotamente» encontrada en un componente vulnerable vinculado a la pila de red, aunque los detalles exactos de la falla permanecieron desconocidos.

Ahora, según los investigadores de Crowdstrike, el error de seguridad, si no se corrige, podría permitir que un mal actor logre la ejecución remota de código a través de un relé NTLM.

«Esta vulnerabilidad permite a un atacante retransmitir sesiones de autenticación NTLM a una máquina atacada y utilizar una cola de impresión MSRPC interfaz para ejecutar código de forma remota en la máquina atacada «, los investigadores dijo en un aviso de viernes.

Los ataques de retransmisión NTLM son un tipo de ataques man-in-the-middle (MitM) que normalmente permiten a los atacantes con acceso a una red interceptar el tráfico de autenticación legítimo entre un cliente y un servidor y retransmitir estas solicitudes de autenticación validadas para acceder a los servicios de red. .

Los expertos detallan una vulnerabilidad reciente de Windows explotable de forma remota - Disyuntivo.com

Los exploits exitosos también podrían permitir que un adversario ejecute código de forma remota en una máquina con Windows o se mueva lateralmente en la red a sistemas críticos, como servidores que alojan controladores de dominio, reutilizando las credenciales NTLM dirigidas al servidor comprometido.

Si bien estos ataques pueden frustrado mediante la firma SMB y LDAP y activando la Protección mejorada para la autenticación (EPA), CVE-2021-1678 explota una debilidad en MSRPC (Llamada a procedimiento remoto de Microsoft) que lo hace vulnerable a un ataque de retransmisión.

Específicamente, los investigadores encontraron que IRemoteWinspool, una interfaz RPC para la administración remota de la cola de impresión, podría aprovecharse para ejecutar una serie de operaciones RPC y escribir archivos arbitrarios en una máquina de destino utilizando una sesión NTLM interceptada.

Microsoft, en un documento de apoyo, dijo que abordó la vulnerabilidad «aumentando el nivel de autenticación RPC e introduciendo una nueva política y clave de registro para permitir que los clientes deshabiliten o habiliten el modo de aplicación en el lado del servidor para aumentar el nivel de autenticación».

Además de instalar la actualización de Windows del 12 de enero, la compañía ha instado a las organizaciones a activar el modo de cumplimiento en el servidor de impresión, una configuración que, según dice, estará habilitada en todos los dispositivos Windows de forma predeterminada a partir del 8 de junio de 2021.

Escrito por Òscar Lombio

Siempre a la última. Cualquier noticia que esté relacionada con gadgets, tecnología o grandes corporaciones, ahí está el, al pie del cañón para informarnos

Loading…

0
El regulador de valores australiano revela una violación de seguridad
El regulador de valores australiano revela una violación de seguridad
Vacuna para el COVID-19
Tenga cuidado con la campaña activa de phishing de vacunación contra COVID-19 del NHS del Reino Unido