Underc0de
Foros Generales => Noticias Informáticas => Mensaje iniciado por: AXCESS en Octubre 30, 2024, 09:58:37 PM
(https://i.postimg.cc/zvYQBJ4b/Windows.png) (https://postimg.cc/k6wsYdJq)
Ahora hay disponibles parches no oficiales gratuitos para una nueva vulnerabilidad de día cero de Windows Themes que permite a los atacantes robar las credenciales NTLM de un objetivo de forma remota.
NTLM se ha explotado ampliamente en ataques de retransmisión NTLM, en los que los actores de amenazas obligan a los dispositivos de red vulnerables a autenticarse en servidores bajo su control, y en ataques de paso de hash, en los que explotan las vulnerabilidades del sistema o implementan software malicioso para adquirir hashes NTLM (que son contraseñas en hash) de los sistemas objetivo.
Una vez que tienen el hash, los atacantes pueden autenticarse como el usuario comprometido, obteniendo acceso a datos confidenciales y propagándose lateralmente en la red ahora comprometida. Hace un año, Microsoft anunció que planea eliminar el protocolo de autenticación NTLM en Windows 11 en el futuro.
Bypass por incompletos parches de seguridad
Los investigadores de ACROS Security descubrieron el nuevo día cero de Windows Themes (al que todavía no se le ha asignado un identificador CVE) mientras desarrollaban un microparche para un problema de seguridad identificado como CVE-2024-38030 que podría filtrar las credenciales de un usuario (reportado por Tomer Peled de Akamai), que en sí mismo es una evasión para otra vulnerabilidad de suplantación de Windows Themes (CVE-2024-21320) parcheada por Microsoft en enero.
Peled descubrió que "cuando un archivo de tema especificaba una ruta de archivo de red para algunas de las propiedades del tema (específicamente BrandImage y Wallpaper), Windows enviaba automáticamente solicitudes de red autenticadas a hosts remotos, incluidas las credenciales NTLM del usuario cuando dicho archivo de tema se veía en Windows Explorer".
"Esto significaba que simplemente ver un archivo de tema malicioso listado en una carpeta o ubicado en el escritorio sería suficiente para filtrar las credenciales del usuario sin ninguna acción adicional por parte del usuario", dijo Mitja Kolsek, CEO de ACROS Security.
Aunque Microsoft ha parcheado CVE-2024-38030 en julio, ACROS Security encontró otro problema que los atacantes podrían explotar para robar las credenciales NTLM de un objetivo en todas las versiones de Windows completamente actualizadas, desde Windows 7 hasta Windows 11 24H2.
"Entonces, en lugar de simplemente reparar CVE-2024-38030, creamos un parche más general para los archivos de temas de Windows que cubriría todas las rutas de ejecución que conducen a que Windows envíe una solicitud de red a un host remoto especificado en un archivo de tema con solo ver el archivo", agregó Kolsek.
Kolsek también compartió una demostración en video (incrustada a continuación), que muestra cómo copiar un archivo de tema de Windows malicioso en un sistema Windows 11 24H2 completamente parcheado (en el lado izquierdo) activa una conexión de red a la máquina de un atacante, exponiendo las credenciales NTLM del usuario que inició sesión.Microparches gratuitos y no oficiales disponibles
La empresa ahora ofrece parches de seguridad gratuitos y no oficiales para este error de día cero a través de su servicio de microparches 0patch para todas las versiones de Windows afectadas hasta que estén disponibles las correcciones oficiales de Microsoft, que ya se han aplicado en todos los sistemas Windows en línea que ejecutan el agente 0patch de la empresa.
(https://i.postimg.cc/3RnnDfrt/0patch-micropatching-service.png) (https://postimages.org/)
https://0patch.com/
"Dado que se trata de una vulnerabilidad de 'día cero' sin una corrección oficial de un proveedor disponible, proporcionamos nuestros microparches de forma gratuita hasta que dicha corrección esté disponible", dijo Kolsek.
Para instalar el microparche en su dispositivo Windows, cree una cuenta 0patch e instale el agente 0patch. Una vez que se inicia el agente, el microparche se aplicará automáticamente sin necesidad de reiniciar el sistema si no hay una política de parches personalizada para bloquearlo.
Sin embargo, es importante tener en cuenta que, en este caso, 0patch solo proporciona microparches para Windows Workstation porque Windows Themes no funciona en Windows Server hasta que se instala la función Desktop Experience.
"Además, para que se produzca una fuga de credenciales en un servidor no basta con ver un archivo de tema en el Explorador de Windows o en el escritorio; más bien, es necesario hacer doble clic en el archivo de tema y aplicar el tema", añadió Kolsek.
Microsoft le dijo a BleepingComputer que "están al tanto de este informe y tomarán las medidas necesarias para ayudar a mantener a los clientes protegidos" cuando se les preguntó sobre el cronograma para un parche, el Centro de Respuesta de Seguridad de Microsoft le dijo a Kolsek que "tienen la plena intención de parchear este problema lo antes posible".
Los usuarios de Windows que quieran una alternativa a los microparches de 0patch hasta que estén disponibles los parches oficiales también pueden aplicar las medidas de mitigación proporcionadas por Microsoft, incluida la aplicación de una política de grupo que bloquea los hashes NTLM como se detalla en el aviso CVE-2024-21320.
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2024-21320#mitigations
Fuente:
BleepingComputer
https://www.bleepingcomputer.com/news/security/new-windows-themes-zero-day-gets-free-unofficial-patches/