La seguridad de todos nuestros datos cada vez es un tema más candente para la mayoría, ya que los ataques que se aprovechan de vulnerabilidades de todo tipo en nuestros equipos, sistemas y software, crecen con el paso del tiempo y al mismo tiempo se hacen más peligrosos.

Es por ello que cada cierto tiempo los investigadores y expertos en seguridad continúan haciendo que nos demos cuenta de que el sistema operativo Windows en ocasiones está lleno de vulnerabilidades que pueden ser explotadas por los atacantes informáticos, todo ello con el fin de robar nuestros datos personales, como veremos a continuación.

Así, uno de estos importantes fallos de seguridad fue reparado por los de Redmond en el último parche del Patch Tuesday y del que os hablaremos a continuación. En concreto este parche se ha tenido que ocupar de un ataque peligroso que podría ayudar a un atacante a robar la contraseña de Windows NT LAN Manager, también conocida como NTML, de forma remota y al mismo tiempo bloquear el equipo vulnerable. Cabe destacar que los problemas relacionados con la mencionada arquitectura NTLM de Microsoft son ampliamente conocidos, sin embargo por regla general los intentos de explotación en este caso exigen la intervención de los usuarios.

Nueva vulnerabilidad en Windows permite robar los datos de inicio

Sin embargo, en este último vector de ataque no se requiere la interacción con el usuario en ningún momento y además la tarea se completa de forma remota. Por lo tanto para llevar a cabo el mismo sobre Windows NTLM, el atacante necesita poner un archivo SCF malicioso en una carpeta de Windows compartida públicamente, ya que disponer de una carpeta pública sin protección por contraseña es común en casi todos los entornos Windows.

Así, una vez hecho esto, un misterioso error ayuda al atacante a recolectar el hash de la contraseña NTLM de la víctima y a continuación subirlo a un servidor preconfigurado.

Este ataque fue descubierto y comunicado a la firma por Juan Diego, un investigador de seguridad con sede en Columbia y que al instante puso en conocimiento del problema a Microsoft en el pasado mes de abril, por lo que se corrigió 148 días después en forma del aviso de seguridad ADV170014. De este modo para corregir este fallo Microsoft ha cambiado dos claves del registro para desactivar NTLM en el sistema. Sin embargo como estas claves solo están disponibles en Windows 10 y Windows Server 2016, son las únicas versiones que se están parcheando en este sentido.

Para terminar diremos que la causa esta vulnerabilidad sigue siendo inexplicable, por lo que como de costumbre, se aconseja a los usuarios que actualicen el sistema con este parche lo antes posible.

El artículo Así de fácil pueden robar los datos de inicio de sesión de Windows sin que el usuario intervenga se publicó en SoftZone .

Ver noticia original

Uso de cookies

Este sitio web utiliza cookies para que tengas la mejor experiencia de usuario. Si continuas navegando estas dando tu consentimiento para la aceptación de las mencionadas cookies y la aceptación de lapolítica de cookies, pincha el enlace para mayor información.

ACEPTAR

Pin It on Pinterest

Share This