Nueva vulnerabilidad 0day en Windows: fuga de datos a través de temas
Simplemente mostrar un archivo malicioso en el Explorador es suficiente para un ataque.
Los investigadores han descubierto una nueva vulnerabilidad en el sistema operativo Windows relacionada con los temas de diseño. Esta permite a los atacantes robar remotamente credenciales NTLM. El problema sigue siendo relevante en todas las versiones de Windows, desde la 7 hasta la 11, a pesar de las actualizaciones de seguridad lanzadas previamente.
La explotación de NTLM se ha utilizado durante mucho tiempo en los ataques de retransmisión (Relay), donde los hackers obligan a dispositivos vulnerables a conectarse a servidores controlados por ellos, obteniendo acceso a datos confidenciales. Microsoft ya ha anunciado su intención de abandonar NTLM en futuras versiones de Windows 11.
Un investigador de ACROS Security identificó una nueva vulnerabilidad mientras desarrollaba un micropatch para un error ya conocido, CVE-2024-38030 , que también afectaba a los temas de diseño y había sido descrito previamente por un especialista de la empresa Akamai. La vulnerabilidad provocaba la fuga de datos al visualizar rutas de red en los parámetros del tema, como fondos de pantalla o imágenes de marca.
La nueva vulnerabilidad de tipo zero-day resultó ser bastante insidiosa: según el director general de ACROS Security, Mitja Kolsek, basta con mostrar un archivo malicioso en el Explorador de Windows para que se produzca la transmisión automática de las credenciales del usuario, sin necesidad de abrir el archivo ni aplicar el tema de diseño.
A continuación, se muestra una demostración del ataque en la versión más reciente de Windows 11 24H2:
Como solución temporal, ACROS Security recomienda instalar la aplicación 0patch para aplicar un parche de seguridad no oficial. Cada usuario puede decidir si desea hacerlo o no. En cualquier caso, Microsoft ya ha confirmado la existencia del problema y ha anunciado que pronto lanzará una actualización.
Mientras se espera el parche oficial, los usuarios también pueden adoptar las medidas de precaución recomendadas por Microsoft, como bloquear el uso de hashes NTLM mediante la política de grupo, según se describe en las recomendaciones para CVE-2024-21320.
Kolsek aclaró que la nueva vulnerabilidad no afecta a Windows Server en su configuración estándar, ya que los temas de diseño no se utilizan a menos que se instale el componente adicional Desktop Experience. Sin embargo, la fuga de datos sigue siendo posible en los servidores si se aplica un tema, aunque no durante una visualización normal en el explorador.
Las huellas digitales son tu debilidad, y los hackers lo saben