Descubre Noticias de Ciberseguridad en nuestro TecnetBlog

Hackers aprovechan autenticación forzada para robar tokens de Windows

Escrito por Gustavo Sánchez | Dec 9, 2023 6:00:00 PM

El mundo de la ciberseguridad está constantemente en movimiento, enfrentándose a nuevas amenazas y desafíos. Uno de estos desafíos emergentes es la vulnerabilidad que presentan las 'actualizaciones forzadas' en los sistemas informáticos. Este fenómeno, que ha captado la atención de expertos en seguridad, revela una nueva frontera en la lucha contra el cibercrimen.

 

¿Qué son las Actualizaciones Forzadas?

 

Para entender la amenaza, primero debemos comprender qué son las actualizaciones forzadas. Estas ocurren cuando un desarrollador de software lanza una nueva versión de su programa que automáticamente reemplaza a la versión anterior en el dispositivo del usuario. Este proceso, diseñado para mantener los sistemas actualizados y seguros, puede tener un lado oscuro.

Por un lado, las actualizaciones automáticas son esenciales para corregir fallos y cerrar brechas de seguridad en el software. Sin embargo, pueden ser explotadas por actores maliciosos. Los hackers, al identificar una vulnerabilidad en el proceso de actualización, pueden insertar código malicioso que se distribuye automáticamente junto con la actualización legítima.

El proceso es engañosamente simple pero efectivo. Un hacker puede, por ejemplo, comprometer el servidor desde donde se distribuye la actualización o interceptar la comunicación entre el usuario y este servidor. Una vez hecho esto, pueden reemplazar la actualización legítima con una maliciosa. El resultado: millones de dispositivos potencialmente infectados sin que el usuario se dé cuenta.

 

Casos Recientes y Su Impacto

 

 

Un equipo de investigadores en ciberseguridad ha identificado un caso de "autenticación forzada" que podría ser explotado para obtener los tokens NT LAN Manager (NTLM) de un usuario de Windows. Este ataque se lleva a cabo engañando a la víctima para que abra un archivo de Microsoft Access especialmente diseñado.

Este ataque se basa en una característica legítima de la solución de gestión de bases de datos que permite a los usuarios conectarse a fuentes de datos externas, como tablas remotas de SQL Server. Los atacantes pueden abusar de esta característica para obtener automáticamente los tokens NTLM del usuario de Windows y enviarlos a un servidor controlado por el atacante a través de cualquier puerto TCP, como el puerto 80. Este ataque puede iniciarse cuando la víctima abre un archivo .accdb o .mdb, e incluso otros tipos de archivos de Office comunes, como .rtf, pueden ser utilizados.

El protocolo NTLM, introducido por Microsoft en 1993, se utiliza para autenticar a los usuarios durante el inicio de sesión, pero a lo largo de los años se ha demostrado que es vulnerable a ataques de fuerza bruta, pase de hash y retransmisión.

 

Te podrá interesar leer:  Como Proteger tu Empresa de los Ataques de Fuerza Bruta

 

En este último ataque, se abusa de la función de tabla vinculada en Access para filtrar los hashes NTLM a un servidor controlado por el atacante. Esto se logra mediante la inserción de un archivo .accdb con un vínculo remoto de base de datos de SQL Server dentro de un documento de MS Word utilizando una técnica llamada Objeto de Vinculación e Incrustación (OLE).

El atacante configura un servidor que escucha en el puerto 80 y coloca su dirección IP en el campo 'alias de servidor'. Luego envía el archivo de la base de datos, que incluye la tabla vinculada, a la víctima. Cuando la víctima abre el archivo y hace clic en la tabla vinculada, el cliente víctima se conecta al servidor controlado por el atacante para autenticarse, lo que permite al atacante realizar un ataque de retransmisión al iniciar un proceso de autenticación con un servidor NTLM objetivo en la misma organización.

El servidor fraudulento recibe el desafío, lo pasa a la víctima como parte del proceso de autenticación y obtiene una respuesta válida, que finalmente se transmite al servidor NTLM.

Microsoft ha publicado medidas de mitigación para este problema en la versión de Office/Access (Canal actual, versión 2306, compilación 16529.20182) después de una divulgación responsable en enero de 2023. Además, 0patch ha lanzado correcciones no oficiales para Office 2010, Office 2013, Office 2016, Office 2019 y Office 365.

Es importante destacar que Microsoft planea descontinuar NTLM en Windows 11 en favor de Kerberos como medida de seguridad mejorada.

 

Te podrá interesar leer:  Prevención de Acceso no Autorizado con Wazuh

 

¿Cómo Protegerse?

 

La protección contra este tipo de ataques requiere un enfoque multifacético. Aquí hay algunas recomendaciones clave:

 

  1. Verificación de Fuentes: Asegúrate de que las actualizaciones provienen de una fuente confiable. Verifica la autenticidad de los certificados digitales.

  2. Firewalls y Antivirus: Utiliza software de seguridad actualizado que pueda detectar e impedir intentos de intrusión.

  3. Políticas de Seguridad: Las empresas deben establecer políticas estrictas para la gestión de actualizaciones, incluyendo pruebas rigurosas antes de su despliegue.

  4. Educación y Conciencia: Mantén a los usuarios informados sobre los riesgos de seguridad y las mejores prácticas para evitarlos.

  5. Respaldos Regulares: Realiza copias de seguridad de tus datos regularmente para mitigar el daño en caso de un ataque exitoso.

 

Podría interesarte:  Concientización: Esencial en la Ciberseguridad de tu Empresa

 

Las actualizaciones forzadas son una herramienta crucial en la lucha contra las vulnerabilidades de software, pero también pueden ser un talón de Aquiles si no se manejan correctamente. En un mundo cada vez más conectado, la seguridad de nuestros sistemas depende de la capacidad para anticipar y mitigar estas amenazas. Es una batalla constante, pero con las estrategias adecuadas y un enfoque proactivo, podemos mantener un paso adelante de los ciberdelincuentes.