Aggiornamenti recenti Dicembre 1st, 2023 2:00 PM
Ago 03, 2016 Marco Schiaffino Approfondimenti, Hacking, In evidenza, Prodotto, RSS, Vulnerabilità 0
Può una vulnerabilità del 1997 diventare un problema nel 2016? Nel caso di Windows la risposta è sì. A spiegarlo in tutti i dettagli è Valdik, un ricercatore russo che ha ripreso in mano la questione dopo che Microsoft ha cominciato a spingere sull’uso del Microsoft Account per accedere al sistema operativo.
Come si legge nel suo post, tutto nasce da un sistema di autenticazione “semplificato” pensato per garantire un accesso più rapido alle risorse di rete locale. La sua introduzione risale ai tempi di Windows 95/NT, quando l’ambiente tipo in cui si collocava un terminale era quello della rete aziendale.
Gli sviluppatori Microsoft, ai tempi, avevano pensato bene di facilitare la vita degli utenti prevedendo l’invio automatico dei dati di accesso per accedere a servizi e risorse all’interno della rete locale.
In pratica, quando i programmi Microsoft (Explorer, Outlook, Internet Explorer e oggi anche Edge) tentavano un collegamento, venivano inviati automaticamente il nome di dominio, il nome utente e l’hash della password. Il problema è che il sistema non distingue tra una rete locale e Internet. Queste informazioni, quindi, possono raggiungere anche un server esterno.
Col tempo, questo metodo è stato abbandonato per ovvie ragioni di sicurezza. Ma non in tutti gli ambiti. Questo comportamento, infatti, è rimasto identico per quanto riguarda le richieste tramite protocollo Server Message Block (SMB) usato per l’accesso a file condivisi, stampanti e altre risorse.
Risultato: un pirata informatico può ottenere queste informazioni semplicemente creando un server SMB accessibile all’esterno e inserendo un collegamento SMB del tipo “smb://” o “file://” all’interno di una pagina Web o di un’email per attirare la potenziale vittima e ricevere le informazioni di accesso.
Valdik ha realizzato un sito Web che dimostra il funzionamento dell’exploit. Se ci colleghiamo con IE o Edge, proverà a catturare username e password del nostro account. Ci sarà da fidarsi?
Ad aggravare la situazione c’è il fatto che l’hashing della password, nel caso questa non sia troppo lunga, può essere decodificato con una certa facilità attraverso brute forcing o attacchi a dizionario. Ottenere le informazioni di cui sopra, quindi, è terribilmente semplice.
Fino a qualche tempo fa, la pericolosità di questa vulnerabilità poteva essere considerata trascurabile. Ottenere in remoto le credenziali di accesso all’account di Windows, infatti, non permette (di per sé) di avere accesso al sistema.
Da quando Microsoft (a partire da Windows 8) ha cominciato a invitare i suoi utenti a utilizzare il Microsoft Account per accedere al sistema, però, la questione ha assunto una rilevanza ben diversa. Sfruttando la vulnerabilità, infatti, è possibile avere accesso in un attimo ai dati memorizzati su OneDrive e a tutti i servizi (Skype, Xbox Live, Office, Outlook.com) eventualmente collegati all’account.
Un solo account per ogni servizio Microsoft…
Come spiega Valdik, sfruttare la vulnerabilità è semplice. Per attivare l’exploit è infatti sufficiente il collegamento alla pagina Web (nel caso di IE ed Edge) o la semplice visualizzazione dell’email in Outlook. Con Chrome e Firefox le cose sono più complicate, perché i due browser accettano i collegamenti del tipo “file://” solo se vengono incollati o inseriti manualmente nella barra degli indirizzi.
La soluzione? Secondo Valdik, starebbe in una modifica al registro di sistema che bloccherebbe le comunicazioni SMB e che il ricercatore illustra nel suo post. Per applicarla è necessario creare e applicare un file.reg con questo contenuto:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0] "RestrictReceivingNTLMTraffic"=dword:00000002 "RestrictSendingNTLMTraffic"=dword:00000002
Per il momento, comunque, può essere una buona idea modificare il sistema di accesso a Windows utilizzando un account locale al posto del Microsoft Account. Non si sa mai…
Nov 28, 2023 0
Nov 24, 2023 0
Nov 03, 2023 0
Nov 02, 2023 0
Dic 01, 2023 0
Dic 01, 2023 0
Nov 30, 2023 0
Nov 30, 2023 0
Nov 30, 2023 0
L’avvicinarsi della fine dell’anno coincide con...Nov 30, 2023 0
Gli attacchi informatici crescono in numero e in...Nov 29, 2023 0
Yarix, divisione Digital Security di Var Group, ha...Nov 27, 2023 0
Le minacce APT sono tra le più pericolose nel panorama...Nov 20, 2023 0
Secondo l’ultima ricerca di Bitdefender, le truffe...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Dic 01, 2023 0
Okta, la società americana di gestione delle identità, ha...Dic 01, 2023 0
Google ha rilasciato RETVec, uno strumento open-source per...Nov 29, 2023 0
Durante il re:Invent, la conferenza annuale di Amazon Web...Nov 28, 2023 0
Microsoft ha annunciato che Defender Application Guard for...Nov 28, 2023 0
L’autorità idrica comunale di Aliquippa, una città...